Wenn man sein tägliches Umfeld betrachtet, kommt man leicht zu dem Schluss, dass der Start in das Informationszeitalter längst geschehen ist. Sowohl personenbezogene Daten als auch sonstige Informationen nehmen einen bedeutenden Teil der Wertschöpfung ein. Damit sind sie für das erfolgreiche Agieren von Unternehmen notwendig und damit auch wertvoll. Alltägliche Dinge wie das elektronische Bezahlen an der Supermarktkasse oder die Fahrt mit der Bahn benötigen funktionierende und sichere Systeme zur Informationsverarbeitung.

Natürlich denkt man zuerst an technische Maßnahmen, wenn es um den sicheren Betrieb von technischen Systemen geht, sei es am eigenen Computer oder auf dem Leitstand des Kraftwerkes. Doch auch der Mensch, der Benutzer von Systemen, muss als „Sicherheitslücke“ gesehen werden. Und genau an dieser Stelle setzen Awareness -Konzepte an. Ziel dieser Konzepte ist es, die Einstellungen, das Wissen und das Handeln von Menschen so zu ändern, dass die „Sicherheitslücke Mensch“ geschlossen wird.

Awareness als Konzept

Das kann natürlich nicht mit einer einzelnen Schulung oder Unterweisung erreicht werden. Ein Awareness -Konzept beschreibt vielmehr ein systematisches, langfristig orientiertes Herangehen an die Erhöhung des Sicherheitsbewusstseins. Damit verbunden sind mehrere, aufeinander abgestimmte, an Situation, Thema und den Adressatenkreis angepasste Maßnahmen. Es ist sicher nachvollziehbar, dass das wiederholte Zeigen von ein und derselben Präsentation eher Ablehnung hervorruft. Es geht bei guten Awareness -Konzepten also darum, für die Teilnehmer auch Abwechslung zu schaffen, Wiederholungen anders zu verpacken, oder auch die Form der Darbietung zu ändern. Natürlich müssen die Inhalte von solchen Maßnahmen auch aktualisiert und an die Empfänger angepasst werden.

Eine Möglichkeit, Abwechslung zu schaffen, Wissen zu vermitteln und zusätzlich auch den Lerneffekt zu prüfen, sind eLearnings: den Mitarbeitern werden neue Inhalte in kleinen Videosequenzen dargestellt und erklärt, danach erhält man bei Bestehen eines Abschlusstests eine Urkunde. Nebeneffekt bei dieser Art von Awareness -Maßnahme: die zeitliche Unabhängigkeit der Durchführung. Es ist nicht notwendig, für alle Teilnehmer einer Veranstaltung einen gemeinsamen Termin zu finden, und bei Bedarf kann man sich die Inhalte teilweise oder auch komplett noch einmal anschauen. Zusätzlich werden Aufwand und Kosten für die Referenten gespart.

Abwechslung bereichert das Awareness -Konzept und erhöht die Bereitschaft, die dargebotenen Inhalte auch für sich selber anzunehmen – sprich: das Sicherheitsbewusstsein wurde ein bisschen verbessert! Also, auf zur nächsten Maßnahme …
Ein kleiner Eindruck, wie so ein eLearning aussehen *könnte*, findet sich auf unserer Webseite.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Erreicht unser Informationssicherheits-Managementsystems (ISMS) seine Ziele? Wirken alle zur Informationssicherheit umgesetzten Maßnahmen wie gedacht? Kurz: Funktioniert das ISMS oder erzeugt es nur das wohlige Gefühl, sich um das Thema Informationssicherheit schon irgendwie gut zu kümmern? Ohne Überwachung und Überprüfung der Wirksamkeit des Managementsystems selbst sowie der zur Informationssicherheit umgesetzten Maßnahmen bleiben nur Gefühl und Hoffnung. Eine angemessene Wirksamkeitsmessung ist daher in jedem relevanten ISMS-Framework vorgesehen.

Einen ersten Überblick zum Thema hat meine Kollegin Alice Laudien in ihrem Artikel Wirksamkeitsmessung im ISMS – ist ein Stein nur ein Stein?  zu unserem Seminar “Wirksamkeitsmessung nach ISO 27004” gegeben.

Dieser Artikel soll den Blick für die beiden Ebenen der Überwachung und Bewertung schärfen: ISMS und Maßnahmen der Informationssicherheit.

Wirksamkeit des ISMS

Gleichgültig ob man ein ISMS nach ISO 27001, BSI IT-Grundschutz oder einem anderen Regelwerk folgt: Ein ISMS besteht immer aus einem Satz zusammenhängender Elemente einer Organisation zum Festlegen von Politiken und Zielen sowie von Prozessen zum Erreichen dieser Ziele. Die Frage lautet also: Sind die Prozesse und ihre tatsächliche Umsetzung geeignet, die gesteckten Ziele zu erreichen?

Zu dieser Zielerreichung sieht beispielsweise ein ISMS nach ISO 27001 verschiedene Vorgehensweisen und Abläufe (Prozesse) vor, u.a. das Risikomangement, Setzen und Verfolgen von Informationssicherheitszielen, Kompetenzmanagement, Wirksamkeitsmessung, interne Audits, Managementbewertung. Diese Abläufe müssen überwacht werden. Am Beispiel der Informationssicherheitsziele bedeutet das:

  • Werden die Ziele regelmäßig (wie vorgesehen) überprüft, ggfs. verändert oder erneuert?
  • Werden Maßnahmen zum Erreichen der Ziele geplant?
  • Wird die Planung wie vorgesehen umgesetzt?
  • Wird die Zielerreichung anhand von Zielerreichungskriterien überprüft?

In einem späteren Artikel werde ich mich ausführlicher mit der Wirksamkeitsprüfung des Managementsystems nach ISO 27001 auseinandersetzen.

Wirksamkeit der Maßnahmen der Informationssicherheit

In einem ISMS nach ISO 27001 wird die Liste der umzusetzenden Maßnahmen aus drei Quellen gespeist:

  • anwendbare gesetzliche, regulatorische, vertragliche und selbst auferlegte Anforderungen
  • Risikomanagement
  • Informationssicherheitsziele

Diese drei Gruppen sind nicht disjunkt, d.h. sie überschneiden sich in der Praxis.

Geeignete Maßnahmen müssen ausgewählt werden, die Umsetzung geplant und verwirklicht werden. Zum Zeitpunkt der Auswahl der Maßnahmen ist man angemessen überzeugt, dass die Maßnahmen im Sinne der Zielerreichung wirksam sein werden, also z.B. ein Risiko hinreichend mindern, eine gesetzliche Anforderung tatsächlich umsetzen oder zur Erreichung eines Zieles zumindest beitragen.

Maßnahmen können im Ergebnis vollumfänglich erfolgreich, teilweise erfolgreich, in Hinblick auf das Ziel wirkungslos oder schlimmstenfalls kontraproduktiv sein. Wer nicht hinschaut, wird es nicht oder bestenfalls zufällig erfahren. Aus diesem Grund überwachen und überprüfen wir unsere Maßnahmen.

In einem späteren Artikel werde ich mich ausführlicher mit ausgesuchten Maßnahmen zur Informationssicherheit und der Möglichkeit ihrer Überwachung und Überprüfung beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Unverbesserliche Optimisten sehen in allen Situationen immer auch die positiven Aspekte. So ermöglichen die Erfahrungen mit den aus der Not heraus getroffenen Maßnahmen zu Beginn der Corona-Pandemie – die Pflicht zum Home-Office und das Homeschooling – einen schärferen Blick darauf, wie Prozesse und Abläufe in Unternehmen und der Verwaltung sich verändern müssen, um vom technologischen Fortschritt in einem größeren Umfang als bisher zu profitieren. Das Arbeiten im Home-Office erweist sich dabei als ein „Türöffner“.

Hierzu gehört mit Sicherheit auch eine geänderte Art der Kommunikation. Viele Menschen haben Erfahrungen mit Videokonferenzen gesammelt, die notwendige Ausstattung (Headset, Webcam) ist mittlerweile weit verbreitet und wird wie selbstverständlich genutzt. Und falls es noch nicht geschehen sein sollte, wäre es spätestens jetzt an der Zeit, von Unternehmensseite das weitere Vorgehen festzulegen, z.B. durch das Bestimmen der künftig zu nutzenden Plattformen und Anbieter. Aus organisatorischer Sicht gehören das Abschneiden alter Zöpfe und die Berücksichtigung der technologischen Möglichkeiten bei der Einführung neuer Prozesse dazu, genauso wie die Einbindung der Mitarbeiter. Nur so ist es möglich, neben der Verbesserung der Informationssicherheit auch Nutzen aus den geänderten Arbeitsweisen zu ziehen.

So ist z.B. in den Produkten vieler Festnetzanbieter auch die Möglichkeit zur softwarebasierten IP-Telefonie enthalten. Dadurch ist es möglich, Anrufe mit der dienstlichen Festnetznummer nicht nur aus dem Büro heraus zu tätigen, sondern auch vom Rechner im Homeoffice aus.  Benötigt wird lediglich das Headset, die Software für IP-Telefonie auf dem eigenen Rechner sowie ein Internetzugang – und die Vermischung von dienstlichen und privaten Telefonaten auf dem privaten Telefonanschluss ist Vergangenheit. Nicht zuletzt aus der Sicht von Datenschutz und Informationssicherheit eine deutliche Verbesserung, auch die Privatsphäre der Mitarbeiter wird so geschützt.

Zu den Veränderungen gehört auch das Erlernen von neuen Verhaltensweisen und Regeln. Nicht alles, was technisch möglich ist, ist auch immer erlaubt. So bieten Videokonferenzlösungen die Möglichkeit, Gespräche aufzuzeichnen – was allerdings rechtlich durchaus bedenklich ist. Ob und unter welchen Umständen derartige Aufzeichnungen zulässig sind, muss nicht nur vorher zuverlässig geklärt, sondern auch den Mitarbeitern vermittelt werden. Denn nur mit einer sicheren und rechtlich einwandfreien Nutzung werden sich die neuen Arbeitsweisen dauerhaft etablieren.

Für einen erfolgreichen Einstieg in die Gestaltung des Arbeitens im Home-Office haben wir unser eintägiges, praxisorientiertes Seminar entwickelt, in dem die Fragestellungen aus diesem und den vorherigen Artikeln  vertieft werden und das dabei unterstützen soll, das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform zu organisieren.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wer in den letzten Monaten auf den üblichen IT-News-Portalen die Berichterstattung verfolgt hat, konnte sich kaum des Themas „Ransomware“ entziehen. Und natürlich fragt man sich als Verantwortlicher: Könnte das auch mich treffen? Was kann ich dagegen tun?

Oft werden auf Checklisten – gute – technische Hinweise gegeben. Der wahrscheinlich wichtigste Ratschlag stammt jedoch nicht aus dem technischen Bereich: die systematische und kontinuierliche Betrachtung von Security Awareness. Gemeint ist hiermit die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für die Informationssicherheit. Alle Mitarbeiterinnen und Mitarbeiter sollten sich über den hohen Stellenwert von Informationssicherheit bewusst sein, alle sollten wissen, dass auch von ihnen selbst ein essenzieller Beitrag erwartet wird – und seien es „nur“ solche alltäglichen Dinge wie eine telefonische Rücksprache bei einer verdächtigen E-Mail oder das Ansprechen von unbekannten Personen auf dem Flur.

Sobald ein solches Sicherheitsbewusstsein bei den Mitarbeiterinnen und Mitarbeitern entwickelt wurde, fällt es auch den Nicht-IT-Profis deutlich leichter, bei neuen Bedrohungen und in neuen Situationen spontan richtig zu handeln.

Flankiert wird Security Awareness hier durch die Komponente „Wissen“, denn natürlich benötigen die Mitarbeiterinnen und Mitarbeiter auch fachliche Informationen zur Informationssicherheit. Nicht jeder Mensch ist IT-affin, nicht jeder Mensch hat gleich viel Freude am Umgang mit Computer oder Smartphone – und auch IT-Profis lernen jeden Tag dazu …

Umso wichtiger ist, klare und leicht nachzuvollziehende Informationen und Arbeitsanweisungen bereitzustellen, wie in welcher Situation zu handeln ist.

Und so sind die Mitarbeiterinnen und Mitarbeiter dann auch für neue Situationen gerüstet, z.B. für die Arbeit im Home Office mit dem Wissen, was im Home Office anders ist, worauf geachtet werden muss und was vielleicht im Home Office verboten ist – und dem Bewusstsein für Informationssicherheit, dass es trotz der Arbeit von zu Hause aus und gerade ohne die ständige Präsenz von IT-Abteilung und Vorgesetztem auf das eigene Handeln ankommt.

Neben den in diesem Artikel angerissenen Fragestellungen geben wir in unserem Seminar zur Security Awareness auch einen kleinen Einblick in die rechtliche Motivation und zeigen anhand von Beispielen, wie Awareness-Maßnahmen maßgeschneidert auf ihre Mitarbeiterinnern und Mitarbeiter und auch auf ihre Unternehmenskultur gestaltet werden können.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Die gute Performance im Bereich Informationssicherheit und Datenschutz wird immer mehr zu einem Wettbewerbsvorteil. Und ganz unabhängig davon, haben Unternehmen ja auch ein Eigeninteresse daran, zu schützen was Ihnen wichtig ist und die Steuerbarkeit ihrer Geschäftsprozesse zu sichern.

Im Bereich der Informationssicherheit ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 ein international anerkannter Weg mit bewährten Steuerungsinstrumenten, wie z.B. ein an das Unternehmen angepasstes Kennzahlensystem, Audits und Managementbewertungen, die Informationssicherheit nachweislich auf ein hohes Niveau zu heben. Aber wie sieht es dazu im Vergleich beim Datenschutz aus?

In der Regel ist ein betrieblicher Datenschutzbeauftragter bestellt, der die Geschäftsführung – meist einmal im Jahr – über den Stand des Datenschutzniveaus im Unternehmen informiert. Insbesondere in Anbetracht der persönlichen Haftungsrisiken der Unternehmensleitung besteht hier häufig der Wunsch nach mehr Steuerbarkeit. Warum also nicht die bewährten Managementwerkzeuge aus der Informationssicherheit auf den Datenschutz übertragen?

Die ISO 27701 bietet eine Möglichkeit das Datenschutzmanagement in ein bestehendes Informationssicherheitsmanagement nach ISO 27001 zu integrieren. Der große Vorteil dabei ist, dass alle Bestandteile eines Managementsystems mit der ISO 27001 bereits vorhanden sind, und die Ausweitung auf den Datenschutz somit mit verhältnismäßig geringem Aufwand verbunden ist.

Derzeit befindet sich die ISO 27701 bei verschiedenen Zertifizierern in der Akkreditierung und es ist geplant in diesem Jahr eine Aufnahme in das Zertifikat nach ISO 27001 zu ermöglichen. Damit wäre auch für den Datenschutz ein unabhängiger sowie anerkannter Nachweis über die Umsetzung eines gesetzeskonformen Datenschutzes möglich.

Ein weiterer Benefit: Die Zusammenarbeit zwischen dem Informationssicherheitsbeauftragte (ISB) und dem Datenschutzbeauftragten (DSB) wird weiter gestärkt, Synergien werden entwickelt und es entstehen Lösungen für beide Themengebiete aus einem Guss.

Es lohnt sich, sich näher mit diesem Thema zu befassen, unabhängig davon, ob im Bereich der Informationssicherheit bereits eine Zertifizierung nach ISO 27001 besteht oder nicht.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wie alle Managementsysteme kann auch das BCM an eine ISO Norm gekoppelt werden, dabei gibt die Norm dann die Anleitung wie die Abläufe und Prozesse optimiert werden und welche Schritte und Dokumentationen dafür notwendig sind.

Um die grundlegende Geschäftstätigkeit und damit die Existenz des Unternehmens auch im Angesicht von Notfällen und Krisen aufrecht zu erhalten, ist die Einführung eines Business Continuity Management Systems – kurz BCM sinnvoll.

Welche Gründe haben Unternehmen ein BCM-System einzuführen?

Die Aufrechterhaltung des Geschäftsbetriebes ggf. auch vorübergehend nur in einer rudimentären Form, sowie die anschließende Wiederherstellung hat für Unternehmen oberste Priorität.

Darüber hinaus gibt es auch nationale, rechtliche Anforderungen an ein betriebliches Krisenmanagement. Dabei können unterschiedliche gesetzliche Anforderungen gelten. Die Gesetze fordern eine aktive Auseinandersetzung mit möglichen Szenarien deren Eintritt den Geschäftsbetrieb so weit, beeinträchtigen das es als Notfall oder Krise definiert und somit nicht innerhalb eines tolerierbaren Zeitraums wiederhergestellt werden kann. Dabei sind unterschiedliche Kriterien, Szenarien und Prozesse zu berücksichtigen. Insbesondere an KRITIS-Unternehmen stellt der Gesetzgeber aufgrund ihrer Bedeutung für das Gemeinwesen besondere Anforderungen.

Oft ergeben sich aber auch von anderer Seite Anforderungen an die Implementierung eines BCM z.B. durch Versicherungen, Kunden oder Geschäftspartner.

Welche Bereiche umfasst ein BCM?

Analyse:

Welche Prozesse, Anlagen oder Dienstleistung ist kritisch? Dabei kann unabhängig von möglichen Szenarien analysiert werden welche Wertschöpfungsprozesse für das eigene Unternehmen als kritisch gelten. Im zweiten Schritt wird dann auch abhängig von Szenarien (z.B. Hochwasser, Stromausfall etc.) nochmal eine Bewertung durchgeführt um z.B. Schadenshöhen, Eintrittswahrscheinlichkeiten und maximale Ausfallzeiten anhand des konkreten Szenarios zu definieren.

Bewertung:

Wie ein Notfall zu bewerten ist, welche Auswirkungen dieser auf das Unternehmen hat und wie darauf zu reagieren ist muss jedes Unternehmen für sich bestimmen. Es gibt aber Methoden, die bei der Bewertung helfen können.

Übungen:

Mit unterschiedlichen Arten von Übungen können dann die identifizierten Szenarien geübt und die Wiederherstellungsplanung oder das Krisenmanagement überprüft und verbessert werden.

Wie wird ein BCM aufgebaut?

Die Norm ISO 22301 gibt hier eine Anleitung, aber auch die Empfehlungen z.B. des Amtes für Bevölkerungsschutz, das BSI oder die UP-Kritis Kooperation geben hier eine erste Hilfestellung.

Welche Fragen sollte man sich vor der Einführung stellen?

  • Gibt es einen von der Geschäftsführung unterzeichneten, verbindlichen BCM Leistungsauftrag mit konkreten messbaren BCM Leistungszielen?
  • Ist eine Zertifizierung nach ISO 22301 das Ziel?
  • In welchen Zyklen sollten die Pläne und Vorgehensweisen geübt und überprüft werden
  • Wie setzt man die notwendigen Regeln und Dokumentationen erfolgreich durch?

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Könnten Sie auf Anhieb einen ungeschliffenen Diamanten von einem einfachen Glaskristall unterscheiden? Oder sieht er auf den ersten Blick nur aus wie ein Stein?
Um den wahren Wert zu erkennen, muss also nachgemessen werden. Und dabei sagt nicht etwa die Größe oder das Gewicht etwas über die Natur des Steines aus, sondern die chemische Zusammensetzung.

Genauso ist es auch bei der Bewertung eines Informationssicherheitssystemes. Es muss nicht nur geprüft werden, ob das System eingeführt und umgesetzt ist, es müssen auch die richtigen Werte gemessen werden, um zu sehen ob es richtig läuft.

Die ISO 27001 schreibt in Kapitel 9 die Bewertung der Leistung vor. Allerdings überlässt sie es der Organisation „was überwacht und gemessen werden muss, einschließlich der Informationssicherheitsprozesse und Maßnahmen“ sowie „die Methoden zur Überwachung, Messung, Analyse und Bewertung, sofern zutreffend, um gültige Ergebnisse sicherzustellen“ (ISO/IEC 27001:2013, 9.1a) und 9.1b)). Begrenzt hilfreich ist die ISO/IEC 27004 „Monitoring, Measurement, Analysis and Evaluation“, die zumindest Hinweise gibt, wer was wann und wie messen und bewerten sollte und im Annex B sogar ausführliche Beispiele für den Aufbau eines Messsystems aufgeführt werden. Jedoch kann hier die Masse und Ausführlichkeit vor allem für kleine und mittlere Unternehmen erschlagend wirken und ist auch gar nicht vollumfänglich notwendig.

In unserem Ein-Tages-Seminar „Wirksamkeitsmessung“ (online und Präsenz) erlangen Sie die Kompetenz, mit den richtigen Methoden Ihre Maßnahmen im ISMS zu bewerten. Welche Schwachstellen müssen beobachtet, gesteuert und letztendlich gemessen werden? Welchen Kennzahlen sollten zu Rate gezogen werden und was sagen sie überhaupt aus? Mit Hilfe dieser Kenntnisse können Sie dann die Wirksamkeit Ihres ISMS überprüfen und erkennen, ob Sie einen Diamanten oder einen Glaskristall in der Hand halten.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Unternehmen schützen Ihre Informationen durch diverse technische Maßnahmen vor Diebstahl und Missbrauch. Denn diese Daten machen ein Unternehmen erst erfolgreich. Um trotzdem an die begehrten Daten zu kommen, haben sich Hacker angepasst und greifen nicht mehr direkt die IT an, sondern suchen sich leichtere Wege, um ans Ziel zu kommen: die Mitarbeiter. Dabei gehen diese Cyber-Kriminellen äußerst geschickt vor und nutzen die menschlichen Schwächen aus.

Daher wird es immer wichtiger, Mitarbeiter gezielt für die Taktiken der Kriminellen zu sensibilisieren. Denn nur so kann verhindert werden, dass ein unbewusstes Fehlverhalten zu Datenverlust führen.
Das beginnt schon damit, dass in Konferenzräumen oder auf dem Schreibtisch keine sensiblen Unterlagen unbeobachtet liegen bleiben. Auch die Nutzung des Internets oder sozialer Medien mit dem Firmenrechner und das damit verbundene Risiko zu viele Informationen preis zu geben oder Schadsoftware runterzuladen wird immer problematischer.

Um ein entsprechendes Sicherheitsbewusstsein bei den Mitarbeitern zu schaffen, müssen Firmen zunächst klare und umsetzbare Richtlinien schaffen, an denen sich die Mitarbeiter orientieren können. Des Weiteren helfen Schulungen und Workshops den Mitarbeitern Gefahren zu erkennen und korrekt zu reagieren.

Wichtig ist, dass diese Maßnahmen regelmäßig durchgeführt und deren Umsetzung geprüft werden. Nur so erreicht man, dass die Maßnahmen zu einem wirklichen Umdenken und einer Handlungsveränderung bei den Mitarbeitern führen. Belehrungen reichen nicht – Beispiele schaffen Verständnis und verdeutlichen Folgen.

Trotz aller Warnungen scheuen Firmen immer noch die Investition für diese Sicherungsmaßnahme, da es keine messbaren Bedrohungen gibt. Denn wer kann schon sagen – Wie oft hat ein Externer sensible Daten gelesen. Welche Informationen zu Terminen bei Kunden wurden per Telefon an Fremde weitergegeben. Welche Passwörter von Mitarbeitern sind auch deren Freunden bekannt da es auch für private Accounts genutzt wird usw. Nur weil noch kein Schaden im eigenen Unternehmen bekannt geworden ist, heißt das nicht das die Bedrohung nicht da ist. Und ist der Schaden erst entstanden, hilft auch aller Ärger über den Mitarbeiter nicht.

Fazit:

Klare Regeln und ein hohes Sicherheitsbewusst sein bei den Mitarbeitern sind genauso wichtig wie die technischen Maßnahmen zur Sicherstellung der Informationssicherheit. Warten Sie nicht bis es zu spät ist, sondern investieren sie in Ihre Mitarbeiter.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!