Schlagwortarchiv für: ISMS

,

Warum Mitarbeiter für die Informationssicherheit wichtig sind

Unternehmen schützen Ihre Informationen durch diverse technische Maßnahmen vor Diebstahl und Missbrauch. Denn diese Daten machen ein Unternehmen erst erfolgreich. Um trotzdem an die begehrten Daten zu kommen, haben sich Hacker angepasst und greifen nicht mehr direkt die IT an, sondern suchen sich leichtere Wege, um ans Ziel zu kommen: die Mitarbeiter. Dabei gehen diese Cyber-Kriminellen äußerst geschickt vor und nutzen die menschlichen Schwächen aus.

Daher wird es immer wichtiger, Mitarbeiter gezielt für die Taktiken der Kriminellen zu sensibilisieren. Denn nur so kann verhindert werden, dass ein unbewusstes Fehlverhalten zu Datenverlust führen.
Das beginnt schon damit, dass in Konferenzräumen oder auf dem Schreibtisch keine sensiblen Unterlagen unbeobachtet liegen bleiben. Auch die Nutzung des Internets oder sozialer Medien mit dem Firmenrechner und das damit verbundene Risiko zu viele Informationen preis zu geben oder Schadsoftware runterzuladen wird immer problematischer.

Um ein entsprechendes Sicherheitsbewusstsein bei den Mitarbeitern zu schaffen, müssen Firmen zunächst klare und umsetzbare Richtlinien schaffen, an denen sich die Mitarbeiter orientieren können. Des Weiteren helfen Schulungen und Workshops den Mitarbeitern Gefahren zu erkennen und korrekt zu reagieren.

Wichtig ist, dass diese Maßnahmen regelmäßig durchgeführt und deren Umsetzung geprüft werden. Nur so erreicht man, dass die Maßnahmen zu einem wirklichen Umdenken und einer Handlungsveränderung bei den Mitarbeitern führen. Belehrungen reichen nicht – Beispiele schaffen Verständnis und verdeutlichen Folgen.

Trotz aller Warnungen scheuen Firmen immer noch die Investition für diese Sicherungsmaßnahme, da es keine messbaren Bedrohungen gibt. Denn wer kann schon sagen – Wie oft hat ein Externer sensible Daten gelesen. Welche Informationen zu Terminen bei Kunden wurden per Telefon an Fremde weitergegeben. Welche Passwörter von Mitarbeitern sind auch deren Freunden bekannt da es auch für private Accounts genutzt wird usw. Nur weil noch kein Schaden im eigenen Unternehmen bekannt geworden ist, heißt das nicht das die Bedrohung nicht da ist. Und ist der Schaden erst entstanden, hilft auch aller Ärger über den Mitarbeiter nicht.

Fazit:

Klare Regeln und ein hohes Sicherheitsbewusst sein bei den Mitarbeitern sind genauso wichtig wie die technischen Maßnahmen zur Sicherstellung der Informationssicherheit. Warten Sie nicht bis es zu spät ist, sondern investieren sie in Ihre Mitarbeiter.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Integriertes Managementsystem zur DSGVO-Umsetzung

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai ergaben sich zahlreiche Veränderungen für Unternehmen. Um alle Anforderungen zu erfüllen und kontinuierlich zu überprüfen, sollte ein Datenschutzmanagementsystem (DSMS) implementiert und gelebt werden. Für Unternehmen, die bereits Managementsysteme eingeführt haben, empfiehlt sich die Integration eines DSMS in das bestehende System.

Lesen Sie hierzu den Beitrag aus der <kes> 4/2018

/von

Erfolgreiche Zertifizierung der Informationssicherheit bei der Husum Netz

Anfang des Jahres gab es wieder eine erfolgreiche Zertifizierung eines ISMS nach ISO 27001, als Abschluss einer guten Zusammenarbeit zwischen der Stadtwerke Husum Netz GmbH und der ANMATHO AG. Im Wattkieker, das Kundenmagazin der Stadtwerke Husum, wurde hierzu ein Artikel veröffentlicht.

Mehr dazu

/von
,

Der neue IT-Grundschutz (BSI) Standard

Ziel des IT-Grundschutzes ist es, ein ausreichendes Schutzniveau für IT-Systeme zu erreichen. Hierzu stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) standardisierte Methoden zur Verfügung, durch die Unternehmen schrittweise einen angemessenen Schutz von IT-Anwendungen und –Systemen gewährleisten können.

Die Grundschutzstandards umfassen folgende Punkte:

  • Standard 200-1 Managementsysteme für Informationssicherheit (ISMS) – enthält die allgemeinen Anforderungen an ein ISMS
  • Standard 200-2 IT-Grundschutz-Vorgehensweisen – hier wurde die Standard-Absicherung und Kern-Absicherung um die Basis-Absicherung erweitert
  • Standard 200-3 Risikoanalyse auf der Basis des IT-Grundschutzes – bündelt alle risikobezogenen Arbeitsschritte und reduziert damit den Aufwand für die Anwender (neu ist ein vereinfachtes Gefährdungsmodell)
  • Standard 200-4 Notfallmanagement – definiert potentiellen Schäden und Ausfallzeiten und gibt Richtlinien für eine koordinierte Reaktion auf Ausnahmesituationen, um wirtschaftliche Schäden zu reduzieren.

Die Standards werden regelmäßig mit den internationalen Normen wie der ISO/IEC 27001 abgeglichen.

Den IT-Grundschutz gibt es schon seit 1994 und wird seitdem regelmäßig überarbeitet und aktualisiert. Seit März 2017 wurde die Vorgehensweise bei der Umsetzung des IT-Grundschutzes überarbeitet, um auch Klein- und Mittelständischen Unternehmen einen leichten Einstieg in die Umsetzung der Sicherheitsmaßnahmen zu bieten.

Die Basis-Absicherung liefert einen Einstieg zur Einführung eines ISMS. Mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden. Die Standard-Absicherung ist kompatibel zur ISO 27001-Zertifizierung. Um einen Teil eines Informationsverbundes gesondert zu betrachten bietet die Kern-Absicherung entsprechende Vorgehensweisen.

So kann ein IT-Grundschutz schrittweise über einen risikobasierten Ansatz eingeführt werden. Gerade Klein- und Mittelständische Unternehmen haben sich bisher gescheut ein komplexes und vielschichtiges IT-Sicherheitsmanagement einzuführen. Durch den neuen Standard unterstützt das BSI die Unternehmen und bietet eine Umsetzung in kleinen Schritten an, die auch diese Unternehmen bewältigen können.

Wer einen kompetenten Berater für die Umsetzung an seiner Seite haben möchte, ist bei uns richtig. Kontaktieren Sie uns!

/von

Lesen Sie den Artikel der ZfK über unser ISMS Projekt bei den Stadtwerken Quickborn

ANMATHO AG und Stadtwerke Quickborn – ein starkes Team für gelebte Sicherheit! Lesen Sie wie die Umsetzung eines ISMS nach ISO 27001 erfolgt in dem aktuellen Artikel der ZfK 10/2016.

/von

Informationssicherheit nachhaltig umsetzen

Die Bedrohungen für die Informationssicherheit sind in den letzten Jahren immer weiter gestiegen, die Methoden der Angreifer werden immer raffinierter. Zudem werden die Schäden häufig durch die eigenen Mitarbeiter oder Dienstleister durch Unwissenheit oder Unbekümmertheit verursacht.

Umso wichtiger ist die Sensibilisierung der IT-Nutzer für die Belange der Informationssicherheit. Da diese beim Nutzer meist als umständlich oder zeitraubend angesehen wird, ist es wichtig, ein Umdenken zu bewirken.

Dies kann mit einer Security Awareness Kampagne in 3 Schritten erfolgen:

Schritt 1:

Um die Aufmerksamkeit der Mitarbeiter zu gewinnen, kann man auf die Risiken im Alltag aufmerksam machen, wie z.B. Lücken des privaten PC’s oder Mobile Devices. Hier ist ein Live-Hack oder Awareness-Videos eine sinnvolle Maßnahme.

Schritt 2:

Im zweiten Schritt gilt es, das Verständnis der Mitarbeiter für Sicherheitsmaßnahmen zu erzeugen und deren Verhalten positiv zu beeinflussen. Hier werden E-Learning Kurse, Merkblätter und Workshops gut angenommen. Je mehr dabei auf die individuellen Arbeitsbereiche der Mitarbeiter eingegangen wird, desto eher fühlt sich jeder Einzelne angesprochen und ist bereit die Sicherheitsmaßnahmen umzusetzen.

Schritt 3:

An diesem Punkt ist das Ziel die Veränderungen zu festigen. Dazu sind Maßnahmen empfehlenswert, die das Gelernte immer wieder in Erinnerung rufen. Unerlässlich ist eine regelmäßige Überprüfung des Gelernten. Hier haben sich Poster, E-Learning-Tests und Banner im firmeneigenen Intranet bewährt.

Security Awareness für Ihre Mitarbeiter

Der Schutz der Informationssicherheit steht und fällt mit dem Verhalten der Mitarbeiter. Eine gut umgesetzte Security Awareness Kampagne vermittelt das nötige Grundwissen und sensibilisiert den Mitarbeiter nachhaltig für die Informationssicherheit und richtige Verhaltensweisen.

Die ANMATHO AG unterstützt Unternehmen bei der Umsetzung von Informationssicherheitsthemen vom Sicherheitscheck über die Konzeption von Notfallplänen bis hin zur vollumfänglichen Einführung eines Informationssicherheits-Managementsystems nach ISO 27001 mit entsprechender Security Awareness Kampagnen.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen