Schlagwortarchiv für: Informationssicherheits-Managementsystem

,

“Domain Storytelling” von Stefan Hofer und Henning Schwentner, eine Rezension

Cover Buch Domain StorytellingAm 29.06.2023 ist im dpunkt.verlag auf 254 das Buch Domain Storytelling von Stefan Hofer und Henning Schwentner erschienen.

Das Buch richtet sich nach eigenen Angaben an Softwarearchitekten, Softwareentwickler, Projektverantwortliche, Business Analysten, IT-Consultants und das IT-Management. Damit liege ich als Berater für Informationssicherheit eigentlich nicht in der Zielgruppe.

Allerdings stehen wir in der Beratung zum Informationssicherheitsmanagement vor ähnlichen Herausforderungen, wenn es darum geht, organisatorische Abläufe zu verdeutlichen, zu diskutieren und abzustimmen. Unsere Berater sind daher immer wieder auf der Suche nach geeigneten Methoden hierfür. Möglicherweise werden wir beim Domain Storytelling fündig. Domain Storytelling ist eine grafische Modellierungstechnik, die veranschaulicht, wie Menschen zusammenarbeiten. Fachexperten beschreiben Softwareexperten, wie sie Tätigkeiten in ihrem Anwendungsbereich ausführen. Dies wird gemeinsam visualisiert und hilft den Softwareexperten bei der Entwicklung der Software.
In der Beratung ist es ganz ähnlich. Berater beschreiben, wie die Abläufe sein sollen. Sie sind Fachexperten, in unserem Fall für Informationssicherheit. Die Beratungskunden haben dabei die Rolle, die sonst den Softwareexperten zukommt. Sie müssen die Abläufe in ihrer Organisation implementieren.

Das Buch führt in seinem ersten Teil in das Domain Storytelling ein. Die Methode verspricht eine einfache, unmittelbar eingängige, bildliche Darstellung von Abläufen. Dem Betrachter erklären sich die Abläufe von selbst, ohne dass er sich zuvor in die Methode einarbeiten muss. Das sind gute Voraussetzungen für einen schnellen Start. Die Autoren verdeutlichen das an eingängigen Beispielen.

Der Zweite Teil des Buches ist dem praktischen Einsatz der Methode gewidmet. Erläutert wird dies ebenfalls an zahlreichen Beispielen.

Domain Storytelling zwingt zum Formulieren im Aktiv. Bei Tätigkeiten wird klar, wer eine Tätigkeit ausführt. In Audits und in der Beratung sehen meine Kollegen und ich immer wieder Vorgabedokumente, die Passivformulierung verwenden und damit im Unklaren lassen, wer für die Umsetzung verantwortlich ist.
Ein Beispiel: In Richtlinien finden sich oft Sätze wie “Die Zugangsrechte müssen regelmäßig überprüft werden.” Die Verwendung des Passivs “muss geprüft werden” lässt offen, wer die Prüfung durchführen soll. Die Folge ist, dass ein entsprechende Prüfung mit hoher Wahrscheinlichkeit nicht stattfinden wird. Daher sind Formulierungen im Aktiv wie “Der Teamleiter IT-Administration sorgt für die Überprüfung der Zugangsrechte.” die besseren Formulierungen. Die Nutzung von Domain Storytelling zwingt nun dazu, darüber nachzudenken, zu entscheiden und entsprechend zu dokumentieren, wer was machen muss. Ein echter Gewinn.

Gut gefallen hat mir auch der Blick der Autoren nach rechts und links. So wird das Verhältnis des Domain Storytellings zu acht anderen Modellierungswerkzeugen wie beispielsweis UML und BPMN erläutert. Das ist sicherlich hilfreich für alle, die entsprechende Werkzeuge bereits im Einsatz haben.

Ein online bereitstehender Editor macht es möglich, das Gelesene sofort auszuprobieren.

Zusammenfassend kann man sagen, dass die Autoren anschaulich und mit vielen Beispielen mit dem Domain Storytelling in eine Methode einführen, die in Beratung und Schulung von großem Nutzen sein kann. Ich jedenfalls werde die Methode in meinen nächsten Schulungen und auch in der Beratung probeweise verwenden und zu einem späteren Zeitpunkt über meine Erfahrungen berichten.

/von
, ,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 5)

Auditprogramme als Steuerungsinstrument

In den ersten drei Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS und mit Berichtswegen beschäftigt. Im vierten Teil ging es um die Integration der ISMS-Prozesse in die Prozesse des Unternehmens.

In diesem Beitrag geht es um Auditprogramme als Steuerungsinstrument.

Verantwortung für die Auditprogramme

Die ISO 27001:2022 fordert ein oder mehrere Auditprogramme zu planen, aufzubauen, zu verwirklichen und aufrechtzuerhalten. Für diese Auditprogramme sollte eine verantwortliche Person, bzw., wenn es sinnvoll erscheint, verschiedene Personen für die unterschiedlichen Programme benannt werden. Im Folgenden spreche ich der Einfachheit halber nur noch im Singular von dem Auditprogramm und der für das Auditprogramm verantwortlichen Person. Wir behalten im Hinterkopf, dass es jeweils auch der Plural sein kann.

Die für das Auditprogramm verantwortliche Person sollte mit Bedacht ausgewählt werden. Von ihr hängt maßgeblich die Wirksamkeit des Auditprogramms und damit eines der drei Pfeiler der Bewertung der Leistung des gesamten ISMS ab.

Aufgaben der für das Auditprogramm verantwortlichen Person

Zu den Aufgaben der verantwortlichen Person für das Auditprogramm gehören u.a.:

  • Ausmaß des Auditprogramms festlegen
  • Auswahl der Auditteams
  • Koordinierung und Zeitplanung aller Audits des Auditprogramms
  • Festlegung der Auditziele
  • Festlegung des Auditumfangs
  • Festlegung Auditkriterien
  • Bestimmung der Auditmethoden
  • Berichterstattung an den Auditauftraggeber (die oberste Leitung)
  • Überwachung des Auditprogramms

Bestimmen der verantwortlichen Person für das Auditprogramm

Der Rolleninhaber sollte mindestens die folgenden Fähigkeiten mitbringen:

  • gute Kenntnisse von Auditprinzipien,  -methoden und -prozessen
  • gute Kenntnisse der relevanten Normen und Referenzdokumente
  • gute Kenntnisse der auditierten Organisation und deren Kontext
  • gute Kenntnisse geltender gesetzlicher, behördlicher und sonstiger Anforderungen
  • gute Kenntnisse zu Informationssicherheit und des Informationssicherheitsmanagements

Nur wer sich gut in den genannten Bereichen auskennt, ist in der Lage ein wirksames und an die eigene Organisation angepasstes Auditprogramm zu erstellen, umzusetzen und zu verbessern. In der Praxis sieht man oft ein Auditprogramm, dass dem des Zertifizierers nachempfunden ist. Das ist schade, wird doch gerade der Vorteil, den ein Insider bei der Gestaltung des Auditprogramms hätte, vergeben. Der Insider kennt oder ahnt zumindest die Schwachstellen der Organisation. Er kennt die Risiken und weiß, wo eine Überprüfung (Auditierung) besonders wichtig wäre. Er kann daher besonders wirkungsvoll Schwerpunkte setzen.

Auftraggeber des Auditprogramms

In KMU wird das Auditprogramm in der Regel von der Geschäftsführung bzw. dem Vorstand selbst in Auftrag gegeben. Damit bestimmt diese oberste Leitung auch die verantwortliche Person für das Auditprogramm. Geschäftsführung bzw. Vorstand sind daher auch in der Lage, dem Auditprogramm Richtung und Schwerpunkte vorzugeben. Das Auditprogramm wird zum Werkzeug, zur wirkungsvollen Überprüfung der Umsetzung und zur Durchsetzung von Vorgaben der obersten Leitung innerhalb der Organisation.

In großen Organisationen kann die Aufgabe zur Bestimmung der verantwortlichen Person für das Auditprogramm auch delegiert werden, z.B. an die Leitung der Revision.

Abschluss und Fazit

Die Auditprogramme sind ein wirkungsvolles Werkzeug, um Vorgaben im Unternehmen durchzusetzen. Die oberste Leitung sollte sich dieses Instruments angemessen bedienen. Eine enge und direkte Verbindung zur Person, die für das Auditprogramm verantwortlich ist, ist daher sehr hilfreich.

Damit wären die wesentlichen Aspekte der Integration der Anforderungen und Prozesse des ISMS in die Prozesse des Unternehmen beschrieben. Damit endet die Artikelreihe über die Aufgaben der obersten Leitung im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

sowie „Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Mit Security Awareness ist es wie mit dem Geburtstag – einmal im Jahr ist man dran, oder?

Viele Unternehmen erachten Security Awareness als ein notwendiges Übel, das man einmal im Jahr im Rahmen seines Informationssicherheits-Managementsystems (ISMS) behandeln muss. Wieso ist das so und warum kann diese Ansicht gefährlich werden?

Für das Funktionieren von Informationssicherheit im Unternehmen müssen viele Maßnahmen ergriffen werden, da nur so Unternehmenswerte vor Verlusten jeglicher Art geschützt werden können. Zu diesen Maßnahmen gehören beispielsweise technische Lösungen, wie Firewalls, Antivirusprogramme oder Logging-Verfahren, aber auch organisatorische Maßnahmen wie das Verwalten von Zutritts-, Zugangs- und Zugriffsrechten. Die Sensibilisierung der Mitarbeiter fällt ebenfalls unter die organisatorischen Maßnahmen, wird aber oft stiefmütterlich behandelt.

Mitarbeiter zu sensibilisieren ist für viele ein scheinbar aufwändiger Kraftakt, der überflüssig erscheint. Jeder weiß doch schließlich, dass man nicht auf große rote Buttons in E-Mails klickt, die einem sagen, man hätte etwas gewonnen und könne sich „hier“ jetzt seinen Gewinn abholen. Nur eben schnell noch Vor-, Nachname, Anschrift, Alter, Kontonummer, Anzahl der Kinder, Mädchenname der Mutter und den Namen der ersten Schule, etc. angeben. Und unbekannte USB-Sticks verwendet ja sicher niemand… Natürlich würde jeder behaupten, diese Sachen zu wissen und dass Hacks ja immer nur den anderen passieren. Aber sind wir mal ehrlich, wer ist schon gänzlich gegen seine Menschlichkeit gewappnet. Vermutlich niemand, denn im stressigen Arbeitsalltag denkt man nicht immer an diese Dinge und jedem passieren mal Fehler. Da ist ein Security Vorfall nicht so unwahrscheinlich.

Oft versuchen Unternehmen die Situation zu lösen, indem der Mitarbeiter durch technische Maßnahmen eingeschränkt wird. Dies erscheint manchen vielversprechender als die strukturierte Sensibilisierung von Mitarbeitern. Leider ist das ein Irrglaube. In Fachkreisen wird längst klar kommuniziert, dass der Mensch eines der größten Sicherheitsrisiken darstellt und die Awareness der Mitarbeiter in der Maßnahmenliste priorisiert behandelt werden sollte.

Stellt sich also die Frage, warum nur bei technischen Maßnahmen zyklische Verbesserungsprozesse etabliert und Awareness Maßnahmen meist mit einer jährlichen Schulung der Mitarbeiter abgehandelt werden. Sollte Awareness nicht allgegenwärtig sein und zur Gewohnheit werden?

Wir empfehlen, den Menschen stärker in den Fokus zu setzen. Dies bedeutet eine stärkere und ehrlichere Beurteilung im Risikomanagement und unterschiedliche Maßnahmen zur Vermittlung eines Sicherheitsbewusstseins sowie entsprechende Handlungsvorgaben. Im einfachsten Fall heißt dies, die Konzeption verschiedener Maßnahmen, verteilt über ein Kalenderjahr. Je nach Größe des Scopes empfiehlt es sich, auch ein Projekt im Projekt anzulegen. Hier werden dann Kulturen, Gruppen, Wissen, Assets und Schwachstellen analysiert und nach ISMS-Zielen ausgewertet und weiterentwickelt. Somit kann sichergestellt werden, dass in den unternehmenskritischen Bereichen gezielt Wissen aufgebaut wird. Zudem werden didaktisch die Methoden gewählt, die am besten zur jeweiligen Zielgruppe passen.

Beschäftigt man sich mit dem Thema Informationssicherheit, ist Security Awareness nicht so aufwändig wie manche glauben. Die Mühe lohnt sich!

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen