Schlagwortarchiv für: Awareness

,

TISAX® – Informationssicherheit im Detail, Teil 4

Nachdem in den vorherigen Beiträgen zum Thema TISAX® das Zusammenspiel zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement dargestellt wurde, wird in diesem Artikel der Einfluss der wichtigsten „nicht-technischen Komponente“ betrachtet – der Einfluss des Menschen.

Wie in eigentlich allen anderen Standards für Informationssicherheit auch, ist das Themengebiet Awareness und Schulung auch bei TISAX® zu finden. Diese generell sehr präsente Herangehensweise beruht auf der Einsicht, dass genaugenommen nur drei mögliche Schwachstellen einen Informationssicherheitsvorfall erst möglich machen: technische Schwächen (wie z.B. Softwarefehler), organisatorische Schwächen (z.B. fehlende Regelungen für das mobile Arbeiten) und menschliche Fehlhandlungen (z.B. das Öffnen eines Mailanhang mit einer Schadsoftware).

Um ein angemessenes Niveau der Informationssicherheit zu erreichen, müssen alle drei Bereiche der möglichen Schwachstellen behandelt werden. Daher finden sich in einem guten Awareness-Konzept vielfältige Maßnahmen, durch deren Zusammenwirken ein sicheres Verhalten der beteiligten Personen erreicht werden soll.

Der erste Schritt – Regelungen treffen

Genaugenommen startet Awareness auf der Seite des Unternehmens. Der Arbeitgeber muss aufzeigen, was im konkreten Unternehmen unter „sicherem Verhalten“ zu verstehen ist und was von den Mitarbeitern erwartet wird. Diese Vorgaben finden sich in den verschiedenen Richtlinien und Anweisungen. Damit sie aber von den Mitarbeitern auch angewandt werden können, müssen diese Vorgaben nicht nur fixiert, sondern auch mitgeteilt werden. Dies geschieht zumeist in Schulungen, in eLearnings oder beim Firmeneintritt eines neuen Mitarbeiters. Inhaltlich findet man an dieser Stelle oft Regelungen für den Gebrauch von Systemen und Anwendungen, den Umgang mit Passworten oder anderen Authentifizierungsmitteln und auch Belehrungen und Verpflichtungen zur Verschwiegenheit.

Als Besonderheit in der Automobilindustrie kommt hinzu, dass Unternehmen häufig mit Informationswerten von Kunden umgehen, oftmals in Form von Projekten. Daher müssen den Projektbeteiligten nicht nur die Vorgaben des eigenen Unternehmens bekannt sein, sondern auch die Vorgaben der Kunden, mit deren Informationswerten im Zuge des Projektes umgegangen wird.

Die Rolle des Mitarbeiters

Die Mitarbeiter haben außerdem noch an einer anderen Stelle einen Einfluss auf das Niveau der Informationssicherheit, neben dem Beachten der Vorgaben des Unternehmens. Es wird von ihnen erwartet, dass sie beobachtete oder vermutete Vorfälle der Schwachstellen dem Verantwortlichen im Unternehmen, zumeist dem Informationssicherheitsbeauftragten (ISB) melden. Das setzt voraus, dass solche Meldewege und Kontakte bei den Mitarbeitern auch bekannt sind. Das Erkennen und Melden von Informationssicherheitsvorfällen sollte daher ebenfalls in Schulungen vorkommen.

An dieser Stelle noch zwei kleine Hinweise zum Melden von Vorfällen. Das Melden der Vorfälle wird von den Mitarbeitern erwartet – nicht aber das Bewerten oder gar das Beheben des gemeldeten Zustands. Diese Bewertung, Entscheidung und weitere Verfolgung wird zumeist beim ISB gesehen. Außerdem freuen sich die meisten Menschen, wenn sie auf einen Hinweis hin zumindest ein kleines positives Feedback bekommen … Schließlich möchten der ISB und auch das Unternehmen, dass dieses Verhalten auch weiterhin gezeigt wird.

Die Gedanken in diesem Artikel zeigen, warum sich in dem VDA ISA Katalog neben vielen eher technischen Aspekten auch Forderungen zur Schulung und Sensibilisierung der Mitarbeiter finden. Natürlich gibt es auch Forderungen, die sowohl die technischen als auch die personellen Aspekte zeitgleich betreffen, wie zum Beispiel das mobile Arbeiten. Doch dazu mehr im nächsten Artikel …

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Die Folge 14 TISAX® – „Informationssicherheit in der Automobilindustrie“ sowie die Folgen 4 und 5 Security Awareness liefern Ihnen hier interessante Informationen zum Thema.

Hören Sie rein!

 

 

 

 

 

/von
, ,

Jetzt gibt’s auf die Ohren – der ANMATHO Podcast “Security on Air”

Sie kennen sicher den Radiospruch „Geht ins Ohr… bleibt im Kopf“. Podcast s haben längst bewiesen, dass dies nicht nur für Radiowerbung gilt.

In der Informationssicherheit gibt es viele Themen, bei denen man mal genau hinhören sollte. Mit unserem Podcast möchten wir Ihnen in kurzen Episoden, regelmäßig relevante Themen der Informationssicherheit und des Datenschutzes vorstellen und zudem Impulse setzen.

Hören Sie rein, wann immer es Ihnen passt – unabhängig von Zeit und Ort. Unseren Podcast finden Sie auf Apple Podcast, Spotify und Google Podcast sowie natürlich auf unserer Website.

Wir starten unseren Podcast mit dem Thema Security im Home-Office. Das Home-Office gehört seit der Corona Pandemie in den Unternehmen, in denen dies grundsätzlich möglich ist, zum festen Bestandteil der Arbeitswelt. Doch was als Provisorium begann, sollte nun gut durchdacht fortgeführt werden. Insbesondere mit Blick auf die Informationssicherheit und den Datenschutz.

In unserem Podcast zum Thema „Security im Home-Office“ möchten wir Ihnen in 3 Folgen Denkanstöße und Tipps zum sicheren Arbeiten außerhalb des Büros geben. In der Folge 1 „Hinter der Firewall geht’s weiter“ befassen wir uns mit organisatorischen Aspekten er Informationssicherheit im Home-Office.

Hören Sie rein!

/von

Schlagwortarchiv für: Awareness

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen