, ,

Sicheres Arbeiten im Home Office – Was sonst noch bleibt…

Nachdem der Schwerpunkt der ersten Blogartikel eher auf technischen Fragstellungen gelegen hat, wurden in den letzten Beiträgen organisatorische und eher „softe“ Themen betrachtet, wie z.B. die Einbindung der Mitarbeiter in den innerbetrieblichen Informationsfluss oder die Notwendigkeit, bestehende Regelungen auf ihre Anwendbarkeit im Home Office zu prüfen und gegebenenfalls anzupassen. Zusätzlich sollten jedoch noch einige weitere Punkte betrachtet werden.

Schutzziel: Verfügbarkeit im Home Office

Die drei Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität bilden die Basis vieler Überlegungen zur Informationssicherheit. Das Schutzziel Verfügbarkeit kann durch das Arbeiten im Home Office beeinträchtigt werden – wenn Informationswerte, insbesondere wenn es physische Informationswerte sind, in das Home Office mitgenommen werden. Nicht nur, dass diese Informationswerte den Mitarbeitern am Firmenstandort nicht mehr zur Verfügung stehen, es muss auch sichergestellt sein, dass diese Informationswerte wieder zurückgeführt werden. Es bietet sich daher an, z.B. im Klassifizierungsschema für physische Informationswerte entsprechende Handhabungsvorgaben zu machen, und natürlich muss der Verbleib des Informationswertes in der Inventarliste dokumentiert werden.

Diese Überlegung betrifft zumeist physische Informationswerte wie z.B. Modelle, Prototypen, Bauteile und auch ganze Systeme, weil diese Dinge sich oft nur schlecht vervielfältigen lassen. Elektronische Informationswerte sind dagegen oftmals vergleichsweise einfach zu duplizieren – es sei denn, die Vervielfältigung ist verboten oder wird technisch unterbunden.

Schutzziel: Vertraulichkeit

Auch für das Schutzziel der Vertraulichkeit finden sich solche nicht offensichtlichen Fragestellungen, wie z.B. die Überlegung, ob der Transport von Informationswerten zwischen dem Firmenstandort und dem häuslichen Arbeitsplatz ausreichend abgesichert ist. Es kann durchaus geschehen, dass ein Laptop gestohlen wird, dass eine Tasche in der S-Bahn vergessen wird oder man durch einen Unfall die mitgeführten Informationswerte nicht mehr wie vorgesehen beaufsichtigen kann. Der Verlust eines Laptops wird in diesen Fällen vielleicht vergleichsweise unproblematisch sein, da er hoffentlich verschlüsselt ist. Aber wie sieht es mit anderen mitgeführten Informationswerten aus, vor allem mit den weiter oben beschriebenen physischen Informationswerten?

Und noch ein Gedanke sollte bei den Vorgaben für das Arbeiten im Home Office betrachtet werden. Bei unternehmenseigenen Informationswerten müssen bei den Regelungen nur die eigenen Anforderungen und Einschätzungen berücksichtigt werden. Bei unternehmensfremden Informationswerten müssen vor allem die Vorgaben des Eigentümers der Informationswerte berücksichtigt werden. Es ist also möglich, dass das Mitführen oder Nutzen unternehmensfremder Informationswerte aus vertraglicher Sicht nicht zulässig ist.

Was Sie noch interessieren könnte…

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

/von
,

Risikomanagement im ISMS (Teil 4)

Informationssicherheitsbehandlung – Risikobehandlungsoptionen

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. Der dritte Teil beschäftigte sich mit der Beurteilung von Risiken.

In diesem Beitrag beschäftigen wir uns mit der Informationssicherheitsbehandlung im Sinne des Kapitels 6.1.3 der ISO 27001:2013, d.h. mit dem Planungsteil der Informationssicherheitsbehandlung. Der Umsetzung der Maßnahmen werden wir uns in einem späteren Beitrag widmen.

Informationssicherheitsoptionen

Zunächst fordert die ISO 27001:2013, dass für die Informationssicherheitsbehandlung angemessene Optionen unter Berücksichtigung der Ergebnisse der Risikobeurteilung auszuwählen. Es können also auch mehrere Optionen ausgewählt werden. Gelegentlich ist dies auch notwendig, da eine einzelne Option möglicherweise nicht zum gewünschten Ergebnis führt. Input dieses Prozessschrittes ist die priorisierte Risikoliste.

Die üblichen Risiokobehandlungsoptionen sind:

  • Risikovermeidung
  • Risikoverminderung
  • Risikoverlagerung
  • Risikoübernahme

Je nach Kontext finden sich leicht andere Bezeichnungen oder einzelne Optionen werden noch einmal in Untertype aufgeteilt. Was bedeuten nun die einzelnen Optionen:

Risikovermeidung (risk avoidance)

Dies klingt zunächst wie der Königsweg. Wenn man das Risiko vermeidet, ist es weg. Allerdings sind Risiken meist untrennbar mit unseren Tätigkeiten, Akticitäten und Prozessen verbunden. Risiken zu vermeiden bedeutet also die mit dem Risiko verbundenen Tätigkeit aufzugeben. Damit wird klar, dass diese Option nur für eine begrenzte Anzahl von Risiken in Frage kommt, möchte man den Geschäftsbetrieb nicht vollständig einstellen. Für einzelne Tätigkeiten oder Abläufe ist dies jedoch eine gute Wahl.

Beispiel:

  • Mit dem Verbieten der Nutzung von privaten Endgeräten zu dienstlichen Zwecken vermeide ich alle an einer solchen Arbeitsweise hängenden Rechtsrisiken, u.a. die datenschutzrechtlichen.

Risikoverminderung (risk modifikation)

Der Wunsch, ein Risiko zu vermindern, ist häufig unser erster Impuls. Wir reduzieren die Schwere der Folgen und / oder die Höhe der Eintrittswahrscheinlichkeit. Der englische Begriff “risk modification” weitet hier die Betrachtungsweise dahingehend, dass es in Einzelfällen auch sinnvoll sein kann, ein Risiko bewusst zu erhöhen, insbesondere um eine Chance wahrzunehmen.

Beispiele:

  • Nutzung eines unverschlüsselten Kommunikationskanals bei der Angebotsvorbereitung, um eine Ausschreibungsfrist einhalten zu können.
  • Etablierung eines Patchmangements, um die Wahrscheinlichkeit des Befalls durch Schadsoftware zu reduzieren.

Risikoverlagerung oder -abwälzung (risk sharing)

Der deutsche Begriff  Risikoabwälzung klingt sehr negativ, geradezu unlauter. Auch hier ist der englische Begriff “risk sharing” (Risikoteilung) etwas schöner. Wir teilen unser Risiko mit jemand anderen. Damit auf der Gegenseite die Bereitschaft vorhanden ist, zumindest einen Teil unseres Risikos zu übernehmen, wird diese üblicherweise hierfür entschädigt. Die Risikoübernahme ist Teil des Geschäftsmodells derjenigen, die die Risiken übernehmen.

Beispiele:

  • Abschluss einer Cyber-Versicherung: Die Versicherung übernimmt (zumindest einen Teil) der der finanziellen Folgen der Cyber-Risiken eines Unternehmens.
  • Outsourcing der IT-Infrastruktur: Ein Outsourcer übernimmt den IT-betrieb für seinen Kunden und damit auch die Risiken, die mit dem IT-Betrieb zusammenhängen. Er haftet seinem Kunden für den ordnungsgemäßen Betrieb und wird hierfür entsprechend vergütet.

Risikoübernahme oder Risikobeibehaltung (risk retention)

Das Risiko wird unverändert beibehalten. Dies gilt auch, wenn das Risiko oberhalb der festgelegten generellen Risikoakzeptanzschwelle liegt. Es handelt sich dabei um eine bewusste Entscheidung. Häufig erfolgt die Entscheidung zur Risikobeibehaltung zeitlich befristet.

Beispiel:

  • Der Patchplan sieht das Patchen eines Altsystems vor. Der Vorgang ist aufwendig und mit Betriebsunterbrechung verbunden. Das Ersetzen des Altsystems durch eine neue Anwendung ist für das übernächste Quartal geplant. Es wird entschieden, die Risiken, die sich aus dem Weiterbetrieb des ungepatchten System ergeben bis dahin zu übernehmen.

Maßnahmen zur Umsetzung der gewählten Optionen

Das Ergebnis sind zu jedem Risiko ausgewählte Risikobehandlungsoptionen. Im Anschluss sind entsprechend der gewählten Optionen Maßnahmen festzulegen. Dies wird Gegenstand des nächsten Blog-Artikels zum Risikomanagement im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Auch zur Risikoanalyse haben wir eine Folge für Sie aufgenommen. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Die Risikoanalyse im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Für ein zertifiziertes und funktionierendes ISMS nach ISO 27001 ist eine Risikobewertung und Risikobehandlung unverzichtbar. Im Anhang A werden viele Punkte aufgegriffen, die Risiken bergen können. Aber reicht es, diese Controls einfach abzuarbeiten? Und wie schafft man es bei der Fülle an Risiken nicht zu verzweifeln?

In unserer Folge „Die Risikoanalyse im ISMS – identifizieren, beurteilen, behandeln“ gehen wir auf folgende Aspekte ein:

  • Normvorgaben der ISO 27001
  • Wie werden Unternehmensrisiken gesammelt?
  • Wie werden Risiken priorisiert und Maßnahmen geplant?
  • Hilfestellungen aus dem IT-Grundschutz
  • Die Wichtigkeit von Asset-Owner und der Führung bei der Risikoanalyse

Hier ein Paar Links zum Thema Risikoanalyse im ISMS:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute Mobile Device Management (MDM)

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das Mobile Device Management ist zum einen eine softwarebasierte Verwaltung von mobilen Geräten wie Laptops, Smartphones usw. aber auch ein Konzept in dem klare Regeln aufgestellt werden, wie diese mobilen Geräte eingesetzt werden dürfen.

In unserer Folge „Mobile Device Management (MDM) aus Informationssicherheits- und Datenschutzsicht“ gehen wir auf folgende Aspekte ein:

  • Vorteile und Möglichkeiten des MDM
  • Mögliche Stolperfallen in Bezug auf private Nutzung
  • Lösungen, um eine private Nutzung zu ermöglichen
  • ISO 27002:2022 Kapitel 7.9 Security of assets off-Premises

Hier ein Paar Links zum Thema MDM:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 3)

Kommunikation und Berichtswege im ISMS

In den ersten beiden Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzen eines Projektteams für die Einführung des ISMS sowie mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS beschäftigt. In diesem Beitrag soll es um die Berichtswege hin zur obersten Leitung eines Unternehmens gehen.

Zuweisung von Verantwortung und Befugnissen zum Berichten

Es ist die Aufgabe der obersten Leitung, also von Geschäftsführern und Vorständen, die Verantwortlichkeit und die Befugnisse für das Berichten über die Leistung des Informationssicherheits-Managementsystems an die oberste Leitung, also an sich selbst, zuzuweisen. Mit anderen Worten, wenn die oberste Leitung nichts aus dem ISMS hört, hat sie selbst etwas falsch gemacht. Lassen wir den Fall, dass genau dies beabsichtigt ist, einmal außen vor…

Die Geschäftsführer und Vorstände sollten also zumindest einer Person, meist dem CISO oder Informationssicherheitsbeauftragten, die Pflicht zur Berichterstattung auferlegen. Verbunden mit einem jederzeitigen und unmittelbaren Vortragsrecht sorgt dies dafür, dass die oberste Leitung auch in außergewöhnlichen Situationen, wie akuten Informationssicherheitsvorfällen jederzeit informiert ist. Aber auch andere Themen, die sonst in der Hierarchie und Bürokratie einer Organisation zu versickern drohen, kommen so “ganz oben” an. Kluge Informationssicherheitsbeauftragte werden von diesem Recht nur sehr dosiert Gebrauch machen, so dass die Befürchtung einer Überbeanspruchung der Führung in der Praxis meist unbegründet ist.

Kennzahlen

Kennzahlen bieten ein wichtiges Steuerungsinstrument. Die ISO 27001:2022 fordert dieses Instrument in Kapitel 9.1, der BSI-Standard 200-1 in Kapitel 4.1 “Aufgaben und Pflichten des Managements”. Sich wichtige Kennzahlen regelmäßig berichten zu lassen, ermöglicht es der Führung im Bilde zu bleiben und steuernd eingreifen zu können. Dabei sollten zwei Ebenen abgedeckt werden:

  1. Wirksamkeit des Informationssicherheits-Managementsystems
    Funktioniert mein Managementsystem? Werden alle notwendigen Aktivitäten durchgeführt, wie z.B. Kennzahlenerfassung, Rollenbesetzungen, Risikobewertungen?
  2. Informationssicherheitsleistung
    Was kommt für die Informationssicherheit hinten raus, z.B. wie häufig auf Links in Phishing-E-Mails geklickt wurde oder wie häufig unbegleitete “Fremde” auf dem Betriebsgelände angetroffen wurden?

Auditberichte

Die eigene Organisation sollte regelmäßig in Hinblick auf Informationssicherheit auditiert werden. Die resultierenden Auditberichte zeigen Nichtkonformitäten und Verbesserungspotentiale auf. Eine wichtige Informationsquelle für die Organisationsleitung.

Managementbewertung

In der Managementbewertung bewertet die Geschäftsführung bzw. der Vorstand ihr bzw. sein ISMS. Diese Sichtweise ist wichtig. Wenn es keine spezifischen Anforderungen gibt, so gehört es mindestens zu den allgemeinen Sorgfaltspflichten der Organisationsleitung für ein angemessenes Niveau der Informationssicherheit zu sorgen. Dieser Pflicht kommt sie nach, indem sie ein ISMS einrichtet bzw. einrichten lässt. In der Folge muss sie sich vergewissern, dass dieses System funktioniert und es daher bewerten.

In der Praxis sieht es meist so aus, dass der Informationssicherheitsbeauftragte (ISB) der obersten Leitung berichtet. Gegenstand des Berichts sind u.a. der Status von Maßnahmen als Folge vorheriger Managementbewertungen, Veränderungen bei verschiedenen das ISMS betreffenden Themen, Nichtkonformitäten und zugehörige Ursachenanalysen sowie Korrekturmaßnahmen, wichtige Kennzahlen, Auditergebnisse, Stand bei der Erreichung von Informationssicherheitszielen, Ergebnisse der Risikobeurteilung,  Umsetzungsgrad beschlossener Maßnahmen sowie allgemeine Möglichkeiten zur fortlaufenden Verbesserung. Auf all diese Dinge muss die Führung wertend reagieren. Notwendige Entscheidungen müssen von der obersten Leitung getroffen werden. Die Managementbewertung ist also nichts, was die oberste Leitung einfach konsumieren darf. Vielmehr ist es andersherum. Der Bericht des ISB liefert nur die Informationen, die als Grundlage für die Bewertung und Anpassung des ISMS durch die Geschäftsführung bzw. Vorstand dienen.

Damit wären die wesentlichen Teile der Kommunikation und Berichtswege an die oberste Leitung im ISMS beschrieben. Wie immer kommt es auch hier darauf an, dies möglichst gut in die Prozesse des Unternehmens zu integrieren. Integration in die Prozesse soll dann auch das Thema des nächsten Artikels dieser Serie werden.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Audit in der ISO 27001

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Laut ISO 27001:2022 Kapitel 9.2 sind interne Audits ein verpflichtender Bestandteil eines funktionierenden ISMS. Jedoch sollte man diese Audits nicht als Zwang wahrnehmen, sondern eher als Möglichkeit, gezielt Schwachstellen aufzugreifen und rechtzeitig abzustellen.

In unserer Folge „Audits in der ISO 27001 – wie, wer, was?“ gehen wir auf folgende Aspekte ein:

  • Forderungen der ISO 27001:2022 Kapitel 9.2
  • Unterschied Auditprogramm und Auditplan
  • Die Schwierigkeiten eines dynamischen Auditprogramms
  • Aufgaben und Qualifikationen von Auditprogrammleitern und Auditoren

Hier ein Paar Links zum Thema interne Audits:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

TISAX® – Informationssicherheit im Detail, Teil 1

In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es heute um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja im vorherigen Artikel kurz erwähnt.

Dieser Katalog erweist sich als eine etwas größere Excel-Tabelle, in der sich neben einigen Hinweisen zum Ablauf Fragen zu 41 Themengebieten der Informationssicherheit finden, die – natürlich – beantwortet werden wollen. Dabei müssen zunächst organisatorische Festlegungen getroffen werden. So soll z.B. festgelegt werden, wer innerhalb einer Organisation für das Thema Informationssicherheit verantwortlich ist, wie Anforderungen der Informationssicherheit auch in Projekten berücksichtigt werden oder wie die Zusammenarbeit zwischen der eigenen IT und unternehmensfremden IT-Dienstleistern geregelt sein soll. Überhaupt geht es bei einem systematischen Aufbau immer – nicht nur bei TISAX® – darum, viele Arbeitsabläufe in Unternehmen in Bezug auf Sicherheitsanforderungen zu betrachten und vielleicht auch erstmalig per Vorgabe unternehmensweit zu regeln.

Grundlagen eines ISMS

Solche Prozesse sind z.B. das Risikomanagement und das Assetmanagement. Unter dem Begriff „Assetmanagement“ versteht man hier die Inventarisierung, Verwaltung, Klassifizierung und Nutzung von allen Arten von Informationswerten. Dazu zählen nicht nur einzelne Dateien oder Anwendungen, der Begriff „Informationswert“ wird hier sehr weit gefasst: auch Prototypen, Zeichnungen auf Papier, Netzwerke, Patente und geistiges Eigentum, Designs werden als Informationswerte betrachtet, aber auch Prozesse, Vertragsbeziehungen oder Menschen in Schlüsselpositionen. Kurzum – alle Dinge, die Informationen enthalten oder für den Ablauf von Geschäftsprozessen benötigt werden, werden beim Assetmanagement betrachtet. Der Grund ist recht einfach: Ich muss wissen, welche Dinge vorhanden sind, damit ich sie angemessen schützen kann.

Assetmanagement und Klassifizierung

Eng verbunden mit dem Assetmanagement ist die Klassifizierung. Schließlich möchte man ja nicht nur wissen, welche Dinge vorhanden sind, sondern auch, wie mit ihnen umgegangen werden soll. Eine Klassifizierung liefert genau solche Handhabungsvorgaben. Hier macht der VDA den Vorschlag, ein vierstufiges Klassifizierungsschema mit den Stufen „öffentlich“, „intern“, „vertraulich“ und „streng vertraulich“ zu nutzen. Zu jeder der vier Stufen werden dann in abgestufter Form Handhabungsvorgaben gemacht. So könnte man z.B. festlegen, dass „öffentliche“ Informationen innerhalb und außerhalb des Unternehmens weitergegeben werden dürfen. „Interne“ Informationen dagegen dürfen nicht nach Außen gegeben werden, innerhalb des Unternehmens jedoch frei genutzt werden. Zugang zu „vertraulichen“ Informationen erhält man nur mit einer Freigabe des Werteverantwortlichen. Ähnlich werden auch andere Aktivitäten wie Drucken, Versenden per Mail oder die Nutzung im Homeoffice abgestuft geregelt, immer passend zum Schutzbedarf des jeweiligen Informationswertes.

Mit TISAX® werden grundlegende Aktivitäten in einem Informationssicherheitsmanagementsystem nicht neu erfunden, sondern – je nach Bedeutung innerhalb der Automobilindustrie – systematisch abgefragt. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar:

“TISAX® – Informationssicherheit in der Automobilindustrie”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

/von
,

Wie ein effektives Business Continuity Management auch bei Naturkatastrophen hilft

Business Continuity Management (BCM) bezieht sich auf den Prozess der Identifizierung potenzieller Bedrohungen für ein Unternehmen und die Entwicklung eines Rahmens, um sicherzustellen, dass wesentliche Geschäftsfunktionen im Falle einer Störung fortgesetzt werden können.

Das Ziel von BCM ist es, einen Plan zu erstellen, der es dem Unternehmen ermöglicht, schnell auf eine Krise zu reagieren, die Auswirkungen der Krise zu minimieren und sich letztendlich davon zu erholen. Dies beinhaltet die Identifizierung kritischer Geschäftsfunktionen, die Bewertung der Risiken, die diese Funktionen stören könnten, und die Entwicklung von Strategien zur Minderung dieser Risiken.

Ein BCM-Plan umfasst in der Regel einen umfassenden Satz von Verfahren und Protokollen, die im Falle einer Störung, z. B. einer Naturkatastrophe, eines Cyberangriffs oder einer anderen Krise, aktiviert werden können. Der Plan kann Verfahren für die Evakuierung von Mitarbeitern, die Einrichtung von Kommunikationskanälen mit Stakeholdern, die Aktivierung von Backup-Systemen und Datenwiederherstellungsprozessen sowie das Management von Lieferkettenunterbrechungen umfassen.

Ein effektiver BCM-Plan kann Unternehmen helfen, ihren Ruf zu schützen, das Vertrauen der Kunden zu erhalten und finanzielle Verluste zu reduzieren. Es kann Unternehmen auch dabei helfen, regulatorische Anforderungen und Industriestandards einzuhalten.

BCM ist ein fortlaufender Prozess, der regelmäßige Überprüfungen und Aktualisierungen erfordert, um sicherzustellen, dass er relevant und effektiv bleibt. Für Unternehmen ist es wichtig, ihre Risiken und Schwachstellen kontinuierlich zu bewerten und ihre BCM-Pläne entsprechend anzupassen.

Ein Beispiel zur Anwendung des Business Continuity Management

Business Continuity Management (BCM) hätte beispielsweise eine wichtige Rolle dabei gespielt, die türkische Bevölkerung bei der Vorbereitung, Reaktion auf und die Erholung von Erdbeben zu unterstützen. Die Türkei ist ein Land, das sich in einer seismisch aktiven Region befindet und in der Vergangenheit zahlreiche Erdbeben erlebt hat, darunter verheerende Erdbeben in den Jahren 1999 und 2020. Hier sind einige Möglichkeiten, wie BCM der türkischen Bevölkerung bei Erdbeben helfen kann:

  1. Bereitschaft: Ein BCM-Plan kann Unternehmen und Organisationen in der Türkei helfen, sich auf Erdbeben vorzubereiten, indem potenzielle Risiken und Schwachstellen identifiziert und Strategien zu deren Eindämmung entwickelt werden. Dies kann die Durchführung regelmäßiger Erdbebenübungen, die Einrichtung von Kommunikationsprotokollen und die Sicherstellung umfassen, dass wichtige Vorräte und Ausrüstung leicht verfügbar sind.
  2. Reaktion: Wenn ein Erdbeben eintritt, kann BCM Unternehmen und Organisationen helfen, schnell und effektiv zu reagieren. Dies kann die Aktivierung von Notfallverfahren, die Evakuierung von Gebäuden und die Einrichtung von Kommunikationskanälen mit den Stakeholdern umfassen. BCM kann auch dazu beitragen, dass kritische Geschäftsfunktionen auch im Katastrophenfall weiter funktionieren.
  3. Wiederherstellung: Nach einem Erdbeben kann BCM Unternehmen und Organisationen in der Türkei helfen, sich so schnell wie möglich zu erholen und den normalen Betrieb wieder aufzunehmen. Dies kann die Aktivierung von Backup-Systemen und Datenwiederherstellungsprozessen sowie die Entwicklung von Strategien zum Management von Lieferkettenunterbrechungen umfassen. BCM kann auch dazu beitragen, den Ruf von Unternehmen und Organisationen zu schützen, das Vertrauen der Kunden zu erhalten und finanzielle Verluste zu reduzieren.

Insgesamt kann BCM der Bevölkerung helfen, sich besser auf Naturkatastrophen vorzubereiten, effektiv zu reagieren, wenn sie auftreten, und sich schneller und effizienter zu erholen. Es kann auch dazu beitragen, Leben zu retten, Eigentum zu schützen und die Auswirkungen von Naturkatastrophen auf Unternehmen und Gemeinden zu minimieren.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast hat diesem Thema 2 Teile gewidmet. Alle Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website..

/von
, ,

Sicheres arbeiten im Home Office – aus den Augen, aus dem Sinn…

Nachdem in den ersten Blogartikeln mit vorrangig technischen Aspekten begonnen wurden, soll hier an die eher organisatorischen Fragestellungen aus dem letzten Artikel angeknüpft werden. Aus einer rein technischen Sicht heraus ist das Arbeiten im Home Office mit einer passenden Ausstattung und bei geschäftlichen Abläufen, die eine Präsenz im Unternehmen nicht erfordern, vergleichsweise einfach umzusetzen. Mit Hilfe der im vorherigen Artikel beschriebenen Vorgaben gibt das Unternehmen den Rahmen vor, wie im außerhalb des Büros gearbeitet werden soll.

Dieser Rahmen erlaubt es, einen erheblichen Teil der internen Kommunikation auch im Home Office nachzubilden. Allerdings setzt es voraus, dass die technischen Möglichkeiten auch regelmäßig und intensiv genutzt werden, um die Mitarbeiter im Home Office in den internen Informationsfluss des Unternehmens auf eine Art und Weise einzubinden, die mit der bei vollständiger Büropräsenz vergleichbar ist. Oder anders gesagt: Man bekommt oft im Home Office vieles nicht mit, was im Unternehmen geschieht. Insbesondere der informelle Informationsfluss leidet oft, man vermisst den Smalltalk mit dem Gegenüber im Büro, bei der Raucherpause oder dem Weg in die Kantine.

Einen Teil zu diesem verringerten Informationsfluss kann auch die schlechtere Erreichbarkeit außerhalb des Büros beitragen. Nicht immer ist ein ablenkungsfreies und ungestörtes Arbeiten möglich, und gelegentlich werden die Freiheiten bei der Gestaltung der Arbeitszeiten auch genutzt – schließlich ist es ja entscheidend, dass die Ergebnisse stimmen, ODER? Insbesondere wenn es darum geht, schnell gemeinsame Entscheidungen außerhalb der gewohnten Abläufe zu treffen, kann sich eine eingeschränkte Erreichbarkeit durchaus negativ auswirken.

Führungsstil und Vertrauen

Somit wird klar, dass sich auch die Tätigkeiten und Herausforderungen im Bereich Mitarbeiterführung erweitern. Ein eng angelegter Führungsstil, der in hohem Maße auf direkter Kontrolle und unmittelbarer Ansprache beruht, funktioniert im Home Office vermutlich eher schlecht. Vielmehr dürfte ein ergebnisorientiertes, vertrauensvolles Anleiten durch den Vorgesetzten eher zu guten Ergebnissen führen. Dazu gehört natürlich auch, dass es Vorgaben und Richtlinien für das Arbeiten im Home Office geben muss, die den geänderten äußeren Bedingungen Rechnung tragen. Home Office bietet dem Arbeitnehmer zwar Gestaltungsmöglichkeiten und Vorteile, darf aber nicht mit absoluter Freiheit und „Wild West“ verwechselt werden. Und dazu kann es auch gehören, dass Arbeitsweisen oder Abläufe anders geregelt, manchmal sogar neu erschaffen oder zumindest entsprechend abgesprochen werden.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Wirksamkeitsmessung im ISMS – Informationssicherheitsleistung

In den vorgehenden Beiträgen habe ich einen kurzen Überblick über die beiden Ebenen der Wirksamkeitsmessung im Informationssicherheits-Managementsystem (ISMS) gegeben und mich mit der Messung der Wirksamkeit des ISMS beschäftigt. Dieser Artikel vertieft den Aspekt der Wirksamkeit der Maßnahmen der Informationssicherheit, der Informationssicherheitsleistung.

Informationssicherheitsleistung – Wirksamkeit der Maßnahmen der Informationssicherheit

Dieser Artikel nimmt Bezug auf die ISO 27001:2022. Die o.g. vorhergehenden Artikel referenzierten noch die ISO 27001:2013. Allerdings gibt es keine nennenswerten inhaltlichen Änderungen die das Kapitel 9.1 “Überwachung, Messung, Analyse und Bewertung” betreffen. Neben redaktionellen Umstellungen ist lediglich die Anmerkung, dass die ausgewählten Methoden zu vergleichbaren und reproduzierbaren Ergebnissen führen sollten, damit sie als gültig zu betrachten sind, von einer Anmerkungen zu einer Anforderung geworden.

Die ISO 27001:2022 fordert: “Die Organisation muss die Informationssicherheitsleistung… bewerten.” Dazu muss überwacht und gemessen werden. Leistung meint ein messbares Ergebnis. An zwei Beispielen für zu überwachende und zu messende Größen, die der ISO 27004:2016 entnommen sind, soll dies dargestellt werden:

  1. Anzahl unbefugten Eindringens in Einrichtungen, in denen sich Informationssysteme befinden
  2. Anzahl der von Malware betroffenen Systeme, die nicht über eine aktualisierte Anti-Malware-Lösung verfügen

Anzahl unbefugten Eindringens in Einrichtungen, in denen sich Informationssysteme befinden

In welchem Unternehmen, gab es nicht schon einmal eine Situation, wo Personen in Bereichen angetroffen wurden, zu denen sie kein Recht zum  (unbegleiteten) Zutritt hatten. Der erste Schritt zur Eindämmung solcher Vorfälle ist zunächst einmal das Erfassen. Die reine Existenz einer solchen Kennzahl macht den eigenen Mitarbeitern deutlich, dass es sich hierbei um ein Problem (ein Informationssicherheitsrisiko) handelt. Das Meldeverhalten hierzu ist oft gering. Da die Situation, sofern sie auffällt, meist sofort entschärft wird. Der erste notwendige Schritt wäre also, die Mitarbeiter für das Thema zu sensibilisieren und zur Meldung anzuhalten.

Nach ihrer Einführung wird die Kennzahl zunächst wahrscheinlich steigen, was aber nicht auf mehr Fälle sondern auf ein besseres Meldeverhalten zurückzuführen ist. Ab der Stabilisierung kann beurteilt werden, ob es sich um vernachlässigbare Einzelfälle handelt oder ob Handlungsbedarf besteht. Nach ergriffen Maßnahmen müsste die Kennzahl dann auf ein akzeptables Niveau sinken.

Anzahl der von Malware betroffenen Systeme, die nicht über eine aktualisierte Anti-Malware-Lösung verfügen

IT-System können von Schadsoftware befallen werden. Dies wird sich wahrscheinlich niemals vollständig vermeiden lassen. Definitiv vermeidbar wäre der Befall durch bekannte Schadsoftware. Diese wird zuverlässig von den gängigen Anti-Viren-Softwarepaketen erkannt und ihre Ausführung verhindert. Bei den Systemen, die trotzdem befallen werden, wäre also noch weiter zu unterscheiden, nach Befall, der sich hätte vermeiden lassen und solchem, der auch bei aktueller AV-Software aufgetreten wäre. Möglicherweise gibt es für durch die Schadsoftware ausgenutzte Sicherheitslücken auch bereits Patches.

Warum wäre eine solche Kennzahl interessant? Wir erhalten hierdurch Hinweise, ob wir den Prozess zur Aktualisierung der AV-Lösung anpassen müssen oder ob es keinen akuten Änderungsbedarf gibt, da sich auch vielleicht nicht unverzügliche Aktualisierung zumindest in der Vergangenheit nicht als Problem erwiesen hat.

Möglicherweise gibt die Analyse von Kennzahlen Hinweise auf weitere wissenswerte Fakten. In unserem Beispiel wäre die “Anzahl der von Malware betroffenen Systeme, die nicht aktuell (nicht gepatcht) sind” möglicherweise eine weitere interessante Kennzahl.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen