RiskTimes - Risk Management

PUBLIKATION
03
MONAT 07
JAHR 2011
Solutions for a
New Risk Economy
Gute geführte Unternehmen legen
Wert auf die Frage «Wie sind
wir auf die Ereignisse vorbereitet
(Plan B?) und weniger wie wahr-
scheinlich ist es dann, dass uns
gerade so ein existenzberdrohen-
des ICT Ereignis trifft».
Vorbild ist eigentlich unsere private
«Krankenkasse». Wir machen
richtigerweise zuvor die richtigen
Gedanken zu unserer Gesundheit
wohl wissend, dass jeder sie frü-
her oder später einmal benötigen
wird.
INFORMATION SECURITY &
BUSINESS CONTINUITY
Die Geschäftsfortführungsplanung
(Business Continuity Management)
ist für ein Unternehmen deshalb
so wichtig, weil sie sich mit den
Ausfallrisiken auseinandersetzt,
welche ein Unternehmen in
Extremsituationen versetzen kann
bis hin zu Existenzgefährdung.
Dabei liegt die Konzentration auf
den Business-kritischen Risiken,
für welche Business Continuity
Strategien (Handlungsoptionen)
und Business Continuity Pläne
erarbeitet.
© copyright by RM Risk Management AG
JOURNAL OF
SECURITY & RISK
INFORMATION
RiskTimes
Information Security Management Strategie –
Sicherheits- und Risk Awareness Kultur -
Für die Sicherheit der ICT ist Technik nicht alles!
Ein näherer Blick auf die Praxis der lT-Sicherheit lässt
Probleme erkennen. Zum einen gibt es aufseiten der
Information Security Management Sicherheitsstrategie
immer mehr Policies, Codes, Weisungen, Merkblätter
oder wie die Richtlinien auch immer genannt werden.
Mitarbeiter verlieren bei dieser Vielfalt schnell den Sinn
dieser Richtlinien aus den Augen, fühlen sich alleine
gelassen und wissen nicht, wie damit umgehen. Aber
nicht nur Mitarbeiter verlieren den Überblick: In einigen
Unternehmen gibt es eine deutliche Lücke zwischen
den guten Absichten der Führungskräfte und den
ergriffenen Massnahmen. Viele Unternehmen glauben,
dass sie der IT-Security eine hohe oder sehr hohe
Dringlichkeit beimessen, haben jedoch nicht einmal
eine Sicherheitsrichtlinie (Security Policy).
In der Welt der ICT (Information and
Communication Technology) sind Daten,
Informationen und Know how mit das
bedeutendste Gut..
Ein ausgewogenes Information Security Sicherheits-
niveau ist essentiell und nur im Zusammenspiel von
Information Security Strategie und Sicherheits- und Risk
Awareness Kultur erreichbar.
Der Übergang von der Strategie zu Massnahmen
scheint ebenfalls in vielen Unternehmen mit Problemen
behaftet: Viele Führungskräfte sind davon überzeugt,
dass ihr Unternehmen die richtige Information Security
Strategie hat, allerdings gehen nur wenige davon aus,
dass diese auch richtig umgesetzt wird. Erfahrungen
zeigen, dass nur gerade jede dritte Information Security
Strategie wird erfolgreich realisiert. Häufig werden
also das Weisungswesen und Information Security
Management Regelungen ignoriert. Der Stellenwert der
Information Security und Information Risk Awarenesss
beim Topmanagement wird eher als ein lästiges Übel
angesehen. Nicht zuletzt fehlt es gerade dort auch an
Information Security Risk Awareness.
Inhalt
In der Welt der ICT sind Daten P.1
das bedeutenste Gut
Information & Risk Awareness P.2
Digital Natives und flexible P.3
Information Security
Die Kluft zwischen Generationen P.4
ist nicht unbeträchtlich
«Liechtenstein» muss nicht sein P.5
If you think it´s expensive - P.7
try an accident
Auch in der lCT gilt: If you think it›s expen-
sive, try an information security accident.
Die Erfahrungen zeigen das Management- und
Abstimmungs-probleme zwischen der Unterneh-
mensspitze und den Fachabteilungen eines der grossen
Herausforderungen in der Umsetzung von Information
Security Management und Information Security Risk
Awareness ist. Letztere verstünden die lCT zu wenig,
sie werde auch nicht als Partner bei der Erfüllung
RM Risk Management AG - Security & Risk Consultants

Principles for
Security & Risk
Management
Success
Ohne Sicherheitsstrategie mit ent-
sprechendem Leistungsauftrag an
die Business Units und Prozess
Owners wird es äussert schwierig
eine Sicherheits- und Risikokultur
aufzubauen. Dabei geht es nicht
primär darum, die Compliance-
Vorschriten einzuhalten sondern die
richtigen unternehmerschen Fragen
im Rahmen der Existenzsicherung
zu stellen und Antworten darauf zu
entwickeln und einzuführen.
Das brauchen Sie für den
richtigen, verantwortungs-
vollen, unternehmerischen
Umgang mit Risikofragen:
• Sicherheitsstrategie mit
Leistungsauftrag für die
Business Units und Prozess
Owners
• Qualitativ hochwärtige
Methodik zu Risikoidentifizie-
rung und -beschreibung
• Für Business-kritische Ausfall-
risiken ist ein Business
Continuity Plan (Plan B)
notwendig
• Der Krisenstab soll mindes-
tens alle 18 Monate
seinen Fitnessgrad im
Umgang mit existenzbedro-
henden Risiken im Rahmen
von Krisenstabsübungen trai-
nieren.
© copyright by RM Risk Management AG
geschäftlicher Anforderungen aner-
kannt. Hier prallen also zwei Welten
aufeinander: Die Anforderungen
des Business an die Informatik
haben in vielen Unternehmen mit
dem, was die lCT als ihre Aufgabe
ansieht, nicht viel zu tun. Speziell
in der Sicherheitstechnik dürfte der
Hauptgrund sein, dass vermiedene
Risiken oder abgewehrte Angriffe
nicht bilanziert werden. Im Falle
eines Ausfalls kritischer Ressourcen.
Dabei werden im Rahmen einer
Business Impact Analyse geschäfts-
kritische Ressourcen und Prozesse
identifiziert, inkl. einer Festlegung
adäquater Wiederanlaufzeiten und
Verfügbarkeiten.
Erfahrungsgemäss engagie-
ren sich lT-Leiter zu wenig, um
als Businesspartner akzeptiert zu
werden, unter anderem weil sie
lT-fachlichen Themen noch näher
seien als Führungsthemen. Falls
das IT Management will, dass ihre
IT-Sicherheitsabteilung (Information
Security Department) anders als
„die Anti-Virus-Leute“ wahrgenom-
men wird, dann sollten sie diese
Botschaft herausstellen und eher
über Information Security und
Information Risk Awareness Risiken,
entschärfende Massnahmen sowie
Geschäftseinflüsse (Business
Impact) reden als über Firewalls und
zu technische Details.
Der Erfolgsfaktor schlecht-
hin – Information Security
Risk Awareness
Der Kern erfolgreichen Sicherns
und Schützens von Daten, Know
how, Betriebsgeheimnissen und
Informationen ist der Aufbau einer
gefahren- und risikobewussten
Einstellung (Information Security
Risk Awareness) von Personen
und Organisationen auf allen
Management-Ebenen der Betriebe.
Unterstützung finden sie durch
Normen und Vorschriften, wobei
die rechtlichen und regulatori-
schen Vorgaben laufend verschärft
(und leider nur bedingt vereinheit-
licht) werden. Die Umsetzung von
Grundschutznormen, zumindest in
grösseren Betrieben, gilt als hinrei-
chend erfolgreich. Das Umfeld wird
aber mehr und mehr internationaler
und der Umgang mit Sicherheit ins-
gesamt schwieriger. Aufbau, Halten
ICT Risiken managen!
Vertrauen ist gut -
Kontrolle ist besser und
muss sein.
Management by «Hoffnung» ist
keine Lösung für gut geführte
Unternehmen.
und Erhöhung der Information
Security Risk Awareness bleiben
dabei stete Aufgaben in Betrieben.
Aktuelle Beispiele sind die öffentlich
geführten Diskussionen über den
Umgang mit schädlicher Software
(Malware) sowie mit der lnternet-
plattform Facebook am Arbeitsplatz.
“ICT Risikobeurteilung
bzw. Risikomanagement
im weiteren Sinne sind
eng mit dem Information
Security Management und
der Information Security
Risk Awareness verfloch-
ten. Beide Funktionen
sollten aufeinander abge-
stimmt werden, damit sie
in der Summe ein mög-
lichst zuverlässiges pro-
fessionelles Frühwarn- und
Kontrollsystem ergeben.”
Aber auch Datendiebstahl-Skandale
wie beispielsweise in Liechtenstein
durch eigene Mitarbeiter, welche ihre
Chancen auf dem Arbeitsmarkt erhö-
RM Risk Management AG - Security & Risk Consultants

hen möchten, sind Themenbereiche, welche auch in
Chefetagen diskutiert werden.
Eine In den Betrieben sollte daher mit einer stu-
fengerechten Ausbildungs- und Informationspolitik
zum Thema Information Security Management und
Information Security Risk Awareness begonnen
werden. Die Richtlinien bzw. Arbeitsregelungen
sind für das Zielpublikum aufzubereiten, Kommu-
nikationskonzepte und Wiederholungskurse zu
erarbeiten. Nur dann sind die Mitarbeiter in der
Lage, die Bedeutung des Information Security
Management und der lT-Sicherheit zu verstehen
und die potenziellen Konsequenzen durch eine
unzureichende Sicherheitskultur für sich und den
Betrieb zu erfassen.
Information Security Management
und Risk Awareness Ausbildung –
Umsetzung und Praxis
Von zentraler Bedeutung ist bei der Information
Security Management und Risk Awareness
Ausbildung die interne und externe Weiterbildung
zur Steigerung der Risk Awareness der Mitarbeiter.
Die übergreifenden Bedeutung einer ausgewoge-
nen Sicherheitsausbildung ist dabei eine zentrale
Herausforderung und optimierte Konzepte eine
Grundvoraussetzung. Das Kursprogramm richtet
sich nach Zielgruppen wie beispielsweise Forschung
und Entwicklung, Führungskräfte, Mitarbeitende
und ist auf deren spezifischen Bedürfnisse ausge-
richtet.
Information Security Risk Awareness -
Digital Natives und flexible Information
Security
Mit der Internet-Generation steigt die Bedeutung
des „Faktors Mensch». Menschen, für die Mobilfunk,
Internet und Web 2.0 zum täglichen Leben gehören,
werden sich - so heisst es - im Unternehmen anders
verhalten als ihre Vorgänger und neue Risiken in
die Firmen tragen. Sorgen bereiten unter anderem
die Einstellung der „Digital Natives» zu Datenschutz
und Urheberrecht sowie die Experimentierfreude
mit neuen Techniken und Medien. Nicht jede
Befürchtung ist dabei begründet - aber neue
Information Security Management Konzepte erfor-
dert die jüngste Anwendergeneration allemal.
Den Begriff der „Digital Natives» hat der amerika-
nische Pädagoge Marc Prensky geprägt: Gemeint
sind Menschen, für die moderne Informationstechnik
und ihre Kommunikationsanwendungen schon wäh-
Information Security
& Risk Awareness -
Digital Natives und
flexible Information
Security. Das ist die
Herausforderung für
alle.
rend der gesamten Jugend- und Ausbildungszeit
präsent waren. Diese Generation beginnt jetzt ihre
Karriere in Unternehmen und stösst dort meist auf
Manager und IT-Verantwortliche, die frühestens im
Studium mit lT und Internet konfrontiert wurden -
„Digital Immigrants».
Sicherheitsverantwortliche begegnen den „Digital
Natives» häufig mit Misstrauen - die wichtigsten
Punkte, die ihnen Sorgen machen, sind schnell
aufgezählt:
•
•
•
den unvorsichtige Verbreitung von persönli-
chen Informationen und Meinungen in sozialen
Netzwerken,
ebremste Akzeptanz und sofortige Nutzung
aller neuen Kommunikationsformen, welche die
Internet- weit zur Verfügung stellt (von der aus
ihrer Sicht fast schon altväterlichen E-Mail über
Chat, SMS, Instant Messaging, VoIP, Blogs und
Wikis bis hin zu Twitter),
grosses Unverständnis gegenüber kommuni-
kativen Einschränkungen, die auf Sicherheits-
erwägungen beruhen, und Unwille sowie abneh-
mende Bereitschaft und Konzentrationsfähigkeit,
sich mit schriftlich dokumentierten Arbeits-
regelungen und Information Security Manage-
ment Vorschriften auseinanderzusetzen..
RM Risk Management AG - Security & Risk Consultants

Die Kluft zwischen Generationen –
Information Security Management und
Risk Awareness als Lösung
Manchmal aber kommt man um Klischees kaum
herum: Unter Angehörigen älterer Jahrgange hat
sich inzwischen eine ganze Reihe von Urteilen und
Vorurteilen über die Internet- und Handy-Generation
verfestigt, die sich durch Beobachtungen und
Berichte in der Presse immer wieder bestätigen
lassen: Kinder leben scheinbar nur noch am und
mit dem Computer, Jugendliche haben ständig das
Mobiltelefon am Ohr und tauschen auf Web2.0-
Plattformen wie den Lokalisten, Schiller- und Studi-
VZ oder Facebook intimste Lebensdetails aus.
Zweijährige hantieren mit Klapphandys, bevor sie
sprechen lernen - und wenn Omas altmodischer
Fotoapparat die Bilder, die er macht seltsamer-
weise nicht sofort wieder zeigen kann, dann ist die
Enttäuschung gross und die Oma „out“.
Private Welten und Unternehmenswel-
ten wachsen zusammen
Eine der einschneidensten Wandlungen der kom-
menden Jahre dürfte nicht allein auf das Konto der
Gewohnheiten von Digital Natives gehen, sondern
auch auf Wirtschaftsinteressen beruhen, die zeit-
gleich die Arbeitswelt verändern. Viele Unternehmen
tendieren heute dazu, feste Arbeitsverhältnisse in
freie zu überführen, um Kosten zu sparen. Was für
spezielle Berufsbilder wie Berater, PR-Fachleute und
Webdesigner schon länger zu beobachten war, trifft
neuerdings auch auf Kernkompetenzbereiche wie
Personalmanagement, Entwicklung und Finanzen
zu: Man setzt auf unabhängige Dienstleister.
Für viele heutige Arbeitnehrner ist es selbstverständ-
lich, abwechselnd fest, frei oder fest-frei zu arbeiten
oder als Mitarbeiter eines Service-Unternehmens
eine interne Position im Hause eines Kunden zu
übernehmen.
Auch feste Arbeitszeiten sind in einigen Branchen
längst passé. Aus diesen Verhältnissen resul-
tieren handfeste Probleme für das Information
Security Management, die Information
Security Risk Awareness und das technische
Sicherheitsmanagement: Administratoren haben
auf immer weniger Geräte der Anwender direk-
ten Zugriff. Gleichzeitig muss man immer häufi-
ger Unternehmensfremden übers eigene Netz den
Zugriff auf externe Ressourcen erlauben - etwa
durch Einrichtung von Gästenetzen - und externen
Mitarbeitern den Zugang zu internen Ressourcen
gestatten.
Auch ein Verbot privater E-Mail- und Webnutzung
Die Kluft zwischen
Generationen –
Information Security
Management und
Risk Awareness als
Lösung.
am Arbeitsplatz wird ad absurdum geführt, wenn an
diesem Platz ein auf eigene Rechnung und Risiko
arbeitender „Unternehmer» sitzt: Dieser kann je
nach Tätigkeit durchaus zu Recht beanspruchen,
am Arbeitsplatz parallel zum Firmenrechner einen
eigenen PC mit Internetzugriff einzusetzen oder
mit seinem eigenen Gerät Zugriff auf Daten des
Auftraggebers zu bekommen.
Erheblich flexiblere Information Security
Management Konzepte und ein stetiger
Information Security Risikodialog sind
gefragt als früher
Zunehmend sind erheblich flexiblere Sicherheits kon-
zepte gefragt als früher. Ein weiterer Punkt ist, dass
die unternehmerisch gewollte Tendenz zu weni-
ger festen Arbeitsverhältnissen indirekt eine immer
selbstbewusster auftretende Arbeitnehmerschaft
nach sich zieht: Wer überwiegend kurzfristige
Engagements eingeht, wird darauf achten müssen,
sich über Social (Business-)Networks und private
Kommunikation auch während der Arbeitszeit für
die berufliche und soziale Zukunft abzusichern.
Diese Tendenz zur Vernetzung zu unterbinden
wäre offensichtlich unfair und ist damit auch für
Unternehmen langfristig nicht durchsetzbar.
Wie auch immer die technischen Lösungen für
diese Probleme aussehen - Arbeitgeber müssen
sich auf die häufig beschworenen „unternehme-
RM Risk Management AG - Security & Risk Consultants

isch denkenden Mitarbeiter» der Digital-Native-
Generation heute so weit einstellen, dass sie auch
deren Ansprüche an Kommunikationsfreiheit erfül-
len können!
Zu schaffen ist dies nur über einen sicherheits-
orientierten IT-Service, dem Information Security
Management und der Information Security Risk
Awareness, der mit individuellen Zugriffssteu-
erungen für Einzelressourcen arbeitet, nicht aber
mit der Kapselung von Infrastrukturen.
Information Security Risiken am
Endpoint flexibel und Zielgruppen ori-
entiert managen und beherrschen
Ermitteln Sie vollautomatisch alle Information
Security Risiken am Endpoint: Genutzte Ports,
Devices, Anwendungen, Austausch kritischer
Dateien, verbundene Netze etc. Definieren Sie auf
dieser Basis Ihre individuelle Sicherheitskultur mit
Freiräumen, Verboten und Systems Management
Zielen - ganz ohne Aufwand.
Schützen Sie Ihre CITRIX- und Terminal-Server
vor allen unerwünschten Daten, dem unerlaubten
Datenabfluss (Data Loss) und vor nicht erwünschten
mobilen Anwendungen (portable apps). Der Schutz
basiert nicht nur auf Dateinamen, sondern geht über
den Content Filter und die Pattern Prüfung tief in die
Dateien hinein.
Data Leakage Prevention: Verschlüsselung kann
mit persönlichen Schlüsseln oder einem Firmen-
schlüssel erzwungen werden. Sie sind compli-
ant und Ihre Daten bleiben im Unternehmen.
Firmenschlüssel sind nur auf Firmenrechnern ver-
wendbar. Datenlecks werden geschlossen - erlaub-
te Dateibewegungen protokolliert.
Ein Datendiebstahl durch eigene
Mitarbeiter oder Informationsbeschaffer
wie in Liechtenstein muss nicht sein!
In Krisenzeiten nimmt das Risiko des Datendieb-
stahls durch eigene Mitarbeiter oder professionel-
le Informationsbeschaffer (Wirtschaftsspione) zu.
Unzufriedene Mitarbeiter erhöhen ihren Marktwert
zum Beispiel durch «mitgenommene Daten“.
Diesem Trend können sie entgegentreten. Mit spe-
ziellen Applikationen bestimmen Sie, wer welche
Programme nutzen darf. Als weltweite Alleinstellung
können sie zusätzlich den Zugriff der Anwendungen
auf alle Dateien kontrollieren - lesend oder schrei-
bend - unabhängig von den Nutzerrechten, nach
Liechtenstein muss nicht sein!
In Krisenzeiten nimmt das
Risiko des Datendiebstahls zu.
Unzufriedene mitarbeiter erhöhen
ihren Marktwert durch «mitgenommene»
Daten.
Namen und Inhalt. Sicherheitsverantwortliche müs-
sen heute also damit rechnen, dass zumindest
der eine oder andere neue Mitarbeiter bei aller
oberflächlichen Souveränität im Umgang mit Social
Media Nachhilfe beim Internet Basiswissen benö-
tigt. Sie können sogar vor der enormen Aufgabe
stehen, eine lang eingeübte, potenziell riskante
Haltung zur Verbreitung von Informationen im Web
ändern zu müssen.
Information Security Risk Assessments
durchführen
Um herauszufinden, was getan werden muss, kom-
men Unternehmen nicht umhin, in ihre Information
Security Risk Assessments in Zukunft den „Faktor
Mensch» mit einzubeziehen und die Belegschaften
- anonymisiert - auch nach ihrem Wissensstand und
ihren Einstellungen in Sachen Internetnutzung und
Datenschutzaspekten zu befragen.
Der eventuell folgende Versuch, bereits eingeschlif-
fenes Verhalten sicherheitsorientiert zu beeinflussen,
wird besonders dann schwierig sein, wenn einem
Digital Native bis zum Eintritt in ein Unternehmen
keine negativen Erfahrungen mit der Auswertung
der von ihm ins Internet gestellten Informationen
gemacht hat. Information Security Management
RM Risk Management AG - Security & Risk Consultants

und die Information Risk Awareness Massnahmen
sollten gerade in diesem Fall nicht mit erhobe-
nem Zeigefinger und Verboten einhergehen! Die
Verantwortlichen sollten mögliche Auswirkungen
eines bestimmten Tuns geduldig erklären. Zunächst
gilt es zu vermitteln, dass in einer neuen sozialen
Umgebung, wie sie ein Unternehmen bildet, auch
neue Bedingungen fürs Webverhalten gelten kön-
nen - etwa die Pflicht, bestimmte berufliche oder
geschäftliche Informationen geheim zu halten
Information Security Management
Arbeitsregelungen brauchen Recht-
fertigung und einen persönlichen
Risikodialog
Den Mitarbeitem muss ausserdem bewusst wer-
den, dass sich scheinbar harmlose persönliche
Informationen über einen Einzelnen für Social-
Engineering Angriffe gegen die soziale Gemeinschaft
missbrauchen lassen, die sein Unternehmen dar-
stellt. Leichter fallen wird die Vermittlung entspre-
chender Lerninhalte dabei Unternehmen, die selbst
eine ethisch einwandfreie Position einnehmen und
auf dieser Basis akzeptable interne Verhaltensregeln
aufgestellt haben.
Sorgfältig begründete und ethisch fundierte Regeln
werden besonders für Untemehmen wichtig sein,
die vornehmlich „Wissensarbeiter» beschäftigen
wollen.
Kopfschmerzen für Sicherheitsver-
antwortliche: Digital Natives möchten
immer alles ausprobieren
Kopfschmerzen bereitet vielen IT-Verantwortlichen
auch die Tendenz von Digital Natives, jede neue
Kommunikationsform weitaus schneller auszupro-
bieren, als eine IT-Abteilung sie auf Risiken abklopfen
kann. Auch dieses Problem wird sich wohl nur über
Information Security Awareness Massnahmen lösen
lassen: Die Sicherheitsverantwortlichen müssen
auf potenzielle Risiken aufmerksam machen. Dies
erfordert aber auch, entsprechende Massnahmen
als gleichwertiges Mittel gegen Risiken anzusehen
und dabei die gleiche Sorgfalt und Energie einzu-
setzen wie für technische Sicherheitssysteme!
Sinnvoll könnte es auch sein, Anwender in Security-
Bewertungsprozesse einzubeziehen - zum Beispiel
indem man besonders Interessierten die Nutzung
einer neuen Kommunikationstechnik in einer abge-
schotteten Umgebung erlaubt und sie bittet, selbst
nach Gefahrenpotenzial zu suchen. Dies wäre dop-
pelt vorteilhaft: Man würde die Experimentierfreude
Kopfschmerzen
für Sicherheitsverantwortliche:
Digital
Natives möchten
immer alles ausprobieren
der Internetgeneration dazu nutzen, effizientere
Kommunikationsformen ausfindig zu machen, und
die Anwender gleichzeitig Sicherheitsaspekte sen-
sibilisieren.
Instant Messaging ist zum Beispiel in bestimmten
Projektphasen alles andere als ein unutzes Add-On,
sondern effizienter als E-Mail — und mit einem Wiki
lässt sich eine Informationsquelle in einer virtuellen
Gruppe besser aufbauen und pflegen als mittels
klassischem Textaustausch per E-Mail mit anschlie-
ssender offizieller Übergabe an den Webmaster.
Als probate Massnahme gegen den Missbrauch
von unternehmensinternen Blogs und Wikis haben
manche CISOs (Chief Information Security Officers)
die persönliche Anmeldung zur Pflicht gemacht —
so können sie unerwünschte Manipulationen im
Schutz der Anonymität unterbinden.
Mein Text, Dein Text,...
Besondere Sorge macht vielen Sicherheitschefs
die Gefahr der Missachtung geistigen Eigentums
durch Digital Natives: Es gilt als typisch für sie,
vorgefundene Inhalte ohne grosse Bedenken
zum Ausgangspunkt „kreativer Umformungen» zu
machen. Untersuchungen haben ausserdem belegt,
dass ein beträchtlicher Teil der Digital Natives tat-
sächlich hinter der Forderung steht, Informationen
im Internet sollten frei sein. Hier Grenzen aufzuzei-
gen, wäre eigentlich Aufgabe der Schulen.
RM Risk Management AG - Security & Risk Consultants

Fazit - Information Security Management
und Information Risk Awareness Risiken
treiben die Unternehmensrisiken ganz
wesentlich
Die Erfolgskriterien für Information Security Manage-
ment sind für eine Geschäftsleitung kaum existent.
Erst durch Schäden verursachte Kosten machen
sich sichtbar - auch in der lCT gilt also: If you think
it›s expensive, try an accident.
Die gesetzlichen und unternehmerischen Anfor-
derungen (Privacy, Know how Schutz bzw. Schutz
vor Datendiebstahl) werden die Unternehmen
stark fordern. Implementiert man ein Information
Security Risk Management mit integriertem
Information Security Risk Awareness richtig in die
Prozesslandschaft erhält das Management zwei
äusserst wertvolle Führungsinstrumente.
Wertorientierte Unternehmensführung mit Fokus
auf den Informationsschutz (Schutz von bedeuten-
den Informationswerten im Unternehmen) bedeutet
Informations Management Chancen und Risiken
richtig und umfassend abzuwägen. Darauf basiert
letztendlich der unternehmerische Erfolg und ins-
besondere der Wettbewerbsvorsprung gegenüber
Mitbewerbern.
Key Information Security Risks (Business Prozess,
IT und Infrastruktur Risiken) sollten in jedem Fall
transparent identifiziert werden, um daraus die
notwendigen Information Security Management
und Information Security Risk Awareness
Massnahmen ableiten zu können. Methodische
Vorlagen zur Umsetzung von zeitgemässen und
adäquaten Massnahmen sowie neutrale Beratungs-
und Schulungsunterstützung sind bei RM Risk
Management AG (www.rmrisk.ch) erhältlich.
Fazit - Information
Security
Management
und Information
Risk Awareness
Risiken treiben die
Unternehmensrisiken
ganz wesentlich!
RM Risk Management AG - Security & Risk Consultants

Information Security Lösungen für KMUs
Umfassende Lösungsmodule mit
zahlreichen, praxisbewährten
Inhalten und Vorlagen.
OptiRisk® ISEC wird individuell auf
Ihre Branche und Firmengrösse
angepasst und umfasst sämtliche
Aspekte eines Information Security
Managements.
Der umfassende Lösungsansatz ist
mit zahlreichen, praxisbewährten
Wissenspaketen (Content) ausgestat-
tet, welche Ihnen erlauben die
Projektdurchlaufzeit und damit
auch die Kosten und Bindung
Ihrer eigenen Ressourcen auf
ein Minimum zu reduzieren.
Die ISEC Lösung ist ohne spe-
ziellen Schulungsaufwand für
den Benutzer sofort einsetzbar.
Sie ist bedienungsfreundlich
und sorgt für die konsistente
Umsetzung eines Information
Security Managements durch ein-
fache Implementierung von metho-
disch aufgebauten Vorlagen.
KMU LÖSUNGEN
OptiRisk ® Module und Templates
verursachen keine zusätzlichen
Software und Schulungskosten. Sie
sind deshalb gerade bei KMUs sehr
beliebt. Für weitere Informationen
über unsere Services und Produkte
besuchen Sie bitte unsere Website:
www.rmrisk.ch
DEMO VIDEOS
Demo-Videos zu unseren Produkten
finden Sie auf unserer Website:
www.rmrisk.ch
6 Fragen an das Management / VR - Impulse und Tips
Sechs Fragen an den Verwaltungsrat und
die Geschäftsleitung
F1: Erfolgt eine regelmässige und syste-
matische Neubeurteilung der wesentlichen
Geschäftsausfallrisiken, verbunden mit einer
stufengerechten Information über die eingelei-
teten Massnahmen?
F2: Wird die Wirksamkeit der internen IS
Kontrolle von der Geschäftsleitung perio-
disch mit dem Verwaltungsrat bzw. dem Audit
Committee erörtert?
F3: Werden die bestehenden Prozesse und
Kontrollen regelmässig unter Berücksichtigung der
tatsächlichen Risiken neu beurteilt und, falls notwen-
dig, entsprechend angepasst?
F4: Sind für die Business-kritischen Prozesse
Business Continuity und Disaster Recovery Pläne
vorhanden?
.
F5: Ist der IT Krisenstab ausreichend
trainiert und vorbereitet auf ausserordent-
liche Ereignisse?
F6: Sie sollten alle 18 Monate den
Krisenstab im Rahmen einer Übung tes-
ten. Wann erfolgte die letzte Übung?
EYE ON RISK
Current Risk Trends
Leider werden Risiken in den
Unternehmen und Verwalt-
ungen immernoch zu sehr
unter Berücksichtigung der
Eintrittswahrscheinlichkeit beurteilt.
Eintrittswahrscheinlichkeitsdaten
basieren auf Vergangenheitswerten
und berücksichtigen die Zukunfts-
entwicklungen zu wenig.
Die Frage «Sind wir auf solche
Ereignisse überhaupt vorbereitet
und wie gehen wir vor?» ist deshalb
entscheidend.
«Management by Hoffnung» ist und
war noch nie eine Lösung!
UNSERE SERVICES
www.rmrisk.ch
Projektmanagement
Fachliche und methodische Beratung
Erarbeitung des ISMS
ISnformation Security Fachdokumente
Anpassung der ISMS Menustrukturen
Coaching & Support vor Ort
Schulung der Mitarbeitenden
E-Learning
© copyright by RM Risk Management AG

Professional
Consulting &
Development
Den Risiken die richtigen und
wirksamen Massnahmen gegen-
überzustellen bzw. bestehende
Massnahmen zu optimieren,
erfordert Weitsicht, viel Erfahrung
im Umgang mit Risiken und
Praxisnähe. Eigenschaften, auf
welche unsere Kunden seit 1988
zählen.
CONSULTING …
COACHING …
TRAINING …
AWARENESS …
SUPPORT …
Risk Times Publikation 03 Monat 07 Jahr 2011
RM Risk Management AG
Security & Risk Consultants
Hertistrasse 25
8304 Wallisellen / Zürich
Schweiz
Tel. +41 (0)44 360 40 40
Fax +41 (0)44 360 40 41
www.rmrisk.ch
rm@rmrisk.ch
© copyright by RM Risk Management AG
PROJECT SOLUTIONS
Neutrale, unabhängige Sicherheits-planung
und Bauherrenberatung
Security Engineering
Betriebliche Sicherheitskonzepte
Integrierte Sicherheitssysteme
Brandschutzkonzepte
Zutrittskonzepte
Videoüberwachungskonzepte
Einbruchschutzkonzepte
Tür-Engineering für Sicherheitstüren und
-schleusen
Neutrale Sicherheitsexpertisen
und -gutachen
AWARENESS & SCHULUNG
Individuelle SIBE Schulungen
Mitarbeiter-Sensibilisierung im sicheren
Umgang mit Geschäftsinformationen
BUSINESS SOLUTIONS
Enterprise Risk Management
Internes Kontrollsystem
Risk Assessment Workshops
Sicherheitsmanagement System
und Organisation
Information Security Management
Business Continuity Management
Krisenmanagement
Notfallplan und Evakuierung
Alarmmanagement
mit virtuellen Alarmportalen
E-Learning
Workshops
Referate zur Förderung
der Security & Risk Awareness