RiskTimes - Risk Management
RiskTimes - Risk Management
RiskTimes - Risk Management
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
PUBLIKATION<br />
03<br />
MONAT 07<br />
JAHR 2011<br />
Solutions for a<br />
New <strong>Risk</strong> Economy<br />
Gute geführte Unternehmen legen<br />
Wert auf die Frage «Wie sind<br />
wir auf die Ereignisse vorbereitet<br />
(Plan B?) und weniger wie wahr-<br />
scheinlich ist es dann, dass uns<br />
gerade so ein existenzberdrohen-<br />
des ICT Ereignis trifft».<br />
Vorbild ist eigentlich unsere private<br />
«Krankenkasse». Wir machen<br />
richtigerweise zuvor die richtigen<br />
Gedanken zu unserer Gesundheit<br />
wohl wissend, dass jeder sie frü-<br />
her oder später einmal benötigen<br />
wird.<br />
INFORMATION SECURITY &<br />
BUSINESS CONTINUITY<br />
Die Geschäftsfortführungsplanung<br />
(Business Continuity <strong>Management</strong>)<br />
ist für ein Unternehmen deshalb<br />
so wichtig, weil sie sich mit den<br />
Ausfallrisiken auseinandersetzt,<br />
welche ein Unternehmen in<br />
Extremsituationen versetzen kann<br />
bis hin zu Existenzgefährdung.<br />
Dabei liegt die Konzentration auf<br />
den Business-kritischen Risiken,<br />
für welche Business Continuity<br />
Strategien (Handlungsoptionen)<br />
und Business Continuity Pläne<br />
erarbeitet.<br />
© copyright by RM <strong>Risk</strong> <strong>Management</strong> AG<br />
JOURNAL OF<br />
SECURITY & RISK<br />
INFORMATION<br />
<strong><strong>Risk</strong>Times</strong><br />
Information Security <strong>Management</strong> Strategie –<br />
Sicherheits- und <strong>Risk</strong> Awareness Kultur -<br />
Für die Sicherheit der ICT ist Technik nicht alles!<br />
Ein näherer Blick auf die Praxis der lT-Sicherheit lässt<br />
Probleme erkennen. Zum einen gibt es aufseiten der<br />
Information Security <strong>Management</strong> Sicherheitsstrategie<br />
immer mehr Policies, Codes, Weisungen, Merkblätter<br />
oder wie die Richtlinien auch immer genannt werden.<br />
Mitarbeiter verlieren bei dieser Vielfalt schnell den Sinn<br />
dieser Richtlinien aus den Augen, fühlen sich alleine<br />
gelassen und wissen nicht, wie damit umgehen. Aber<br />
nicht nur Mitarbeiter verlieren den Überblick: In einigen<br />
Unternehmen gibt es eine deutliche Lücke zwischen<br />
den guten Absichten der Führungskräfte und den<br />
ergriffenen Massnahmen. Viele Unternehmen glauben,<br />
dass sie der IT-Security eine hohe oder sehr hohe<br />
Dringlichkeit beimessen, haben jedoch nicht einmal<br />
eine Sicherheitsrichtlinie (Security Policy).<br />
In der Welt der ICT (Information and<br />
Communication Technology) sind Daten,<br />
Informationen und Know how mit das<br />
bedeutendste Gut..<br />
Ein ausgewogenes Information Security Sicherheits-<br />
niveau ist essentiell und nur im Zusammenspiel von<br />
Information Security Strategie und Sicherheits- und <strong>Risk</strong><br />
Awareness Kultur erreichbar.<br />
Der Übergang von der Strategie zu Massnahmen<br />
scheint ebenfalls in vielen Unternehmen mit Problemen<br />
behaftet: Viele Führungskräfte sind davon überzeugt,<br />
dass ihr Unternehmen die richtige Information Security<br />
Strategie hat, allerdings gehen nur wenige davon aus,<br />
dass diese auch richtig umgesetzt wird. Erfahrungen<br />
zeigen, dass nur gerade jede dritte Information Security<br />
Strategie wird erfolgreich realisiert. Häufig werden<br />
also das Weisungswesen und Information Security<br />
<strong>Management</strong> Regelungen ignoriert. Der Stellenwert der<br />
Information Security und Information <strong>Risk</strong> Awarenesss<br />
beim Topmanagement wird eher als ein lästiges Übel<br />
angesehen. Nicht zuletzt fehlt es gerade dort auch an<br />
Information Security <strong>Risk</strong> Awareness.<br />
Inhalt<br />
In der Welt der ICT sind Daten P.1<br />
das bedeutenste Gut<br />
Information & <strong>Risk</strong> Awareness P.2<br />
Digital Natives und flexible P.3<br />
Information Security<br />
Die Kluft zwischen Generationen P.4<br />
ist nicht unbeträchtlich<br />
«Liechtenstein» muss nicht sein P.5<br />
If you think it´s expensive - P.7<br />
try an accident<br />
Auch in der lCT gilt: If you think it›s expen-<br />
sive, try an information security accident.<br />
Die Erfahrungen zeigen das <strong>Management</strong>- und<br />
Abstimmungs-probleme zwischen der Unterneh-<br />
mensspitze und den Fachabteilungen eines der grossen<br />
Herausforderungen in der Umsetzung von Information<br />
Security <strong>Management</strong> und Information Security <strong>Risk</strong><br />
Awareness ist. Letztere verstünden die lCT zu wenig,<br />
sie werde auch nicht als Partner bei der Erfüllung<br />
RM <strong>Risk</strong> <strong>Management</strong> AG - Security & <strong>Risk</strong> Consultants
Principles for<br />
Security & <strong>Risk</strong><br />
<strong>Management</strong><br />
Success<br />
Ohne Sicherheitsstrategie mit ent-<br />
sprechendem Leistungsauftrag an<br />
die Business Units und Prozess<br />
Owners wird es äussert schwierig<br />
eine Sicherheits- und Risikokultur<br />
aufzubauen. Dabei geht es nicht<br />
primär darum, die Compliance-<br />
Vorschriten einzuhalten sondern die<br />
richtigen unternehmerschen Fragen<br />
im Rahmen der Existenzsicherung<br />
zu stellen und Antworten darauf zu<br />
entwickeln und einzuführen.<br />
Das brauchen Sie für den<br />
richtigen, verantwortungs-<br />
vollen, unternehmerischen<br />
Umgang mit Risikofragen:<br />
• Sicherheitsstrategie mit<br />
Leistungsauftrag für die<br />
Business Units und Prozess<br />
Owners<br />
• Qualitativ hochwärtige<br />
Methodik zu Risikoidentifizie-<br />
rung und -beschreibung<br />
• Für Business-kritische Ausfall-<br />
risiken ist ein Business<br />
Continuity Plan (Plan B)<br />
notwendig<br />
• Der Krisenstab soll mindes-<br />
tens alle 18 Monate<br />
seinen Fitnessgrad im<br />
Umgang mit existenzbedro-<br />
henden Risiken im Rahmen<br />
von Krisenstabsübungen trai-<br />
nieren.<br />
© copyright by RM <strong>Risk</strong> <strong>Management</strong> AG<br />
geschäftlicher Anforderungen aner-<br />
kannt. Hier prallen also zwei Welten<br />
aufeinander: Die Anforderungen<br />
des Business an die Informatik<br />
haben in vielen Unternehmen mit<br />
dem, was die lCT als ihre Aufgabe<br />
ansieht, nicht viel zu tun. Speziell<br />
in der Sicherheitstechnik dürfte der<br />
Hauptgrund sein, dass vermiedene<br />
Risiken oder abgewehrte Angriffe<br />
nicht bilanziert werden. Im Falle<br />
eines Ausfalls kritischer Ressourcen.<br />
Dabei werden im Rahmen einer<br />
Business Impact Analyse geschäfts-<br />
kritische Ressourcen und Prozesse<br />
identifiziert, inkl. einer Festlegung<br />
adäquater Wiederanlaufzeiten und<br />
Verfügbarkeiten.<br />
Erfahrungsgemäss engagie-<br />
ren sich lT-Leiter zu wenig, um<br />
als Businesspartner akzeptiert zu<br />
werden, unter anderem weil sie<br />
lT-fachlichen Themen noch näher<br />
seien als Führungsthemen. Falls<br />
das IT <strong>Management</strong> will, dass ihre<br />
IT-Sicherheitsabteilung (Information<br />
Security Department) anders als<br />
„die Anti-Virus-Leute“ wahrgenom-<br />
men wird, dann sollten sie diese<br />
Botschaft herausstellen und eher<br />
über Information Security und<br />
Information <strong>Risk</strong> Awareness Risiken,<br />
entschärfende Massnahmen sowie<br />
Geschäftseinflüsse (Business<br />
Impact) reden als über Firewalls und<br />
zu technische Details.<br />
Der Erfolgsfaktor schlecht-<br />
hin – Information Security<br />
<strong>Risk</strong> Awareness<br />
Der Kern erfolgreichen Sicherns<br />
und Schützens von Daten, Know<br />
how, Betriebsgeheimnissen und<br />
Informationen ist der Aufbau einer<br />
gefahren- und risikobewussten<br />
Einstellung (Information Security<br />
<strong>Risk</strong> Awareness) von Personen<br />
und Organisationen auf allen<br />
<strong>Management</strong>-Ebenen der Betriebe.<br />
Unterstützung finden sie durch<br />
Normen und Vorschriften, wobei<br />
die rechtlichen und regulatori-<br />
schen Vorgaben laufend verschärft<br />
(und leider nur bedingt vereinheit-<br />
licht) werden. Die Umsetzung von<br />
Grundschutznormen, zumindest in<br />
grösseren Betrieben, gilt als hinrei-<br />
chend erfolgreich. Das Umfeld wird<br />
aber mehr und mehr internationaler<br />
und der Umgang mit Sicherheit ins-<br />
gesamt schwieriger. Aufbau, Halten<br />
ICT Risiken managen!<br />
Vertrauen ist gut -<br />
Kontrolle ist besser und<br />
muss sein.<br />
<strong>Management</strong> by «Hoffnung» ist<br />
keine Lösung für gut geführte<br />
Unternehmen.<br />
und Erhöhung der Information<br />
Security <strong>Risk</strong> Awareness bleiben<br />
dabei stete Aufgaben in Betrieben.<br />
Aktuelle Beispiele sind die öffentlich<br />
geführten Diskussionen über den<br />
Umgang mit schädlicher Software<br />
(Malware) sowie mit der lnternet-<br />
plattform Facebook am Arbeitsplatz.<br />
“ICT Risikobeurteilung<br />
bzw. Risikomanagement<br />
im weiteren Sinne sind<br />
eng mit dem Information<br />
Security <strong>Management</strong> und<br />
der Information Security<br />
<strong>Risk</strong> Awareness verfloch-<br />
ten. Beide Funktionen<br />
sollten aufeinander abge-<br />
stimmt werden, damit sie<br />
in der Summe ein mög-<br />
lichst zuverlässiges pro-<br />
fessionelles Frühwarn- und<br />
Kontrollsystem ergeben.”<br />
Aber auch Datendiebstahl-Skandale<br />
wie beispielsweise in Liechtenstein<br />
durch eigene Mitarbeiter, welche ihre<br />
Chancen auf dem Arbeitsmarkt erhö-<br />
RM <strong>Risk</strong> <strong>Management</strong> AG - Security & <strong>Risk</strong> Consultants
hen möchten, sind Themenbereiche, welche auch in<br />
Chefetagen diskutiert werden.<br />
Eine In den Betrieben sollte daher mit einer stu-<br />
fengerechten Ausbildungs- und Informationspolitik<br />
zum Thema Information Security <strong>Management</strong> und<br />
Information Security <strong>Risk</strong> Awareness begonnen<br />
werden. Die Richtlinien bzw. Arbeitsregelungen<br />
sind für das Zielpublikum aufzubereiten, Kommu-<br />
nikationskonzepte und Wiederholungskurse zu<br />
erarbeiten. Nur dann sind die Mitarbeiter in der<br />
Lage, die Bedeutung des Information Security<br />
<strong>Management</strong> und der lT-Sicherheit zu verstehen<br />
und die potenziellen Konsequenzen durch eine<br />
unzureichende Sicherheitskultur für sich und den<br />
Betrieb zu erfassen.<br />
Information Security <strong>Management</strong><br />
und <strong>Risk</strong> Awareness Ausbildung –<br />
Umsetzung und Praxis<br />
Von zentraler Bedeutung ist bei der Information<br />
Security <strong>Management</strong> und <strong>Risk</strong> Awareness<br />
Ausbildung die interne und externe Weiterbildung<br />
zur Steigerung der <strong>Risk</strong> Awareness der Mitarbeiter.<br />
Die übergreifenden Bedeutung einer ausgewoge-<br />
nen Sicherheitsausbildung ist dabei eine zentrale<br />
Herausforderung und optimierte Konzepte eine<br />
Grundvoraussetzung. Das Kursprogramm richtet<br />
sich nach Zielgruppen wie beispielsweise Forschung<br />
und Entwicklung, Führungskräfte, Mitarbeitende<br />
und ist auf deren spezifischen Bedürfnisse ausge-<br />
richtet.<br />
Information Security <strong>Risk</strong> Awareness -<br />
Digital Natives und flexible Information<br />
Security<br />
Mit der Internet-Generation steigt die Bedeutung<br />
des „Faktors Mensch». Menschen, für die Mobilfunk,<br />
Internet und Web 2.0 zum täglichen Leben gehören,<br />
werden sich - so heisst es - im Unternehmen anders<br />
verhalten als ihre Vorgänger und neue Risiken in<br />
die Firmen tragen. Sorgen bereiten unter anderem<br />
die Einstellung der „Digital Natives» zu Datenschutz<br />
und Urheberrecht sowie die Experimentierfreude<br />
mit neuen Techniken und Medien. Nicht jede<br />
Befürchtung ist dabei begründet - aber neue<br />
Information Security <strong>Management</strong> Konzepte erfor-<br />
dert die jüngste Anwendergeneration allemal.<br />
Den Begriff der „Digital Natives» hat der amerika-<br />
nische Pädagoge Marc Prensky geprägt: Gemeint<br />
sind Menschen, für die moderne Informationstechnik<br />
und ihre Kommunikationsanwendungen schon wäh-<br />
Information Security<br />
& <strong>Risk</strong> Awareness -<br />
Digital Natives und<br />
flexible Information<br />
Security. Das ist die<br />
Herausforderung für<br />
alle.<br />
rend der gesamten Jugend- und Ausbildungszeit<br />
präsent waren. Diese Generation beginnt jetzt ihre<br />
Karriere in Unternehmen und stösst dort meist auf<br />
Manager und IT-Verantwortliche, die frühestens im<br />
Studium mit lT und Internet konfrontiert wurden -<br />
„Digital Immigrants».<br />
Sicherheitsverantwortliche begegnen den „Digital<br />
Natives» häufig mit Misstrauen - die wichtigsten<br />
Punkte, die ihnen Sorgen machen, sind schnell<br />
aufgezählt:<br />
•<br />
•<br />
•<br />
den unvorsichtige Verbreitung von persönli-<br />
chen Informationen und Meinungen in sozialen<br />
Netzwerken,<br />
ebremste Akzeptanz und sofortige Nutzung<br />
aller neuen Kommunikationsformen, welche die<br />
Internet- weit zur Verfügung stellt (von der aus<br />
ihrer Sicht fast schon altväterlichen E-Mail über<br />
Chat, SMS, Instant Messaging, VoIP, Blogs und<br />
Wikis bis hin zu Twitter),<br />
grosses Unverständnis gegenüber kommuni-<br />
kativen Einschränkungen, die auf Sicherheits-<br />
erwägungen beruhen, und Unwille sowie abneh-<br />
mende Bereitschaft und Konzentrationsfähigkeit,<br />
sich mit schriftlich dokumentierten Arbeits-<br />
regelungen und Information Security Manage-<br />
ment Vorschriften auseinanderzusetzen..<br />
RM <strong>Risk</strong> <strong>Management</strong> AG - Security & <strong>Risk</strong> Consultants
Die Kluft zwischen Generationen –<br />
Information Security <strong>Management</strong> und<br />
<strong>Risk</strong> Awareness als Lösung<br />
Manchmal aber kommt man um Klischees kaum<br />
herum: Unter Angehörigen älterer Jahrgange hat<br />
sich inzwischen eine ganze Reihe von Urteilen und<br />
Vorurteilen über die Internet- und Handy-Generation<br />
verfestigt, die sich durch Beobachtungen und<br />
Berichte in der Presse immer wieder bestätigen<br />
lassen: Kinder leben scheinbar nur noch am und<br />
mit dem Computer, Jugendliche haben ständig das<br />
Mobiltelefon am Ohr und tauschen auf Web2.0-<br />
Plattformen wie den Lokalisten, Schiller- und Studi-<br />
VZ oder Facebook intimste Lebensdetails aus.<br />
Zweijährige hantieren mit Klapphandys, bevor sie<br />
sprechen lernen - und wenn Omas altmodischer<br />
Fotoapparat die Bilder, die er macht seltsamer-<br />
weise nicht sofort wieder zeigen kann, dann ist die<br />
Enttäuschung gross und die Oma „out“.<br />
Private Welten und Unternehmenswel-<br />
ten wachsen zusammen<br />
Eine der einschneidensten Wandlungen der kom-<br />
menden Jahre dürfte nicht allein auf das Konto der<br />
Gewohnheiten von Digital Natives gehen, sondern<br />
auch auf Wirtschaftsinteressen beruhen, die zeit-<br />
gleich die Arbeitswelt verändern. Viele Unternehmen<br />
tendieren heute dazu, feste Arbeitsverhältnisse in<br />
freie zu überführen, um Kosten zu sparen. Was für<br />
spezielle Berufsbilder wie Berater, PR-Fachleute und<br />
Webdesigner schon länger zu beobachten war, trifft<br />
neuerdings auch auf Kernkompetenzbereiche wie<br />
Personalmanagement, Entwicklung und Finanzen<br />
zu: Man setzt auf unabhängige Dienstleister.<br />
Für viele heutige Arbeitnehrner ist es selbstverständ-<br />
lich, abwechselnd fest, frei oder fest-frei zu arbeiten<br />
oder als Mitarbeiter eines Service-Unternehmens<br />
eine interne Position im Hause eines Kunden zu<br />
übernehmen.<br />
Auch feste Arbeitszeiten sind in einigen Branchen<br />
längst passé. Aus diesen Verhältnissen resul-<br />
tieren handfeste Probleme für das Information<br />
Security <strong>Management</strong>, die Information<br />
Security <strong>Risk</strong> Awareness und das technische<br />
Sicherheitsmanagement: Administratoren haben<br />
auf immer weniger Geräte der Anwender direk-<br />
ten Zugriff. Gleichzeitig muss man immer häufi-<br />
ger Unternehmensfremden übers eigene Netz den<br />
Zugriff auf externe Ressourcen erlauben - etwa<br />
durch Einrichtung von Gästenetzen - und externen<br />
Mitarbeitern den Zugang zu internen Ressourcen<br />
gestatten.<br />
Auch ein Verbot privater E-Mail- und Webnutzung<br />
Die Kluft zwischen<br />
Generationen –<br />
Information Security<br />
<strong>Management</strong> und<br />
<strong>Risk</strong> Awareness als<br />
Lösung.<br />
am Arbeitsplatz wird ad absurdum geführt, wenn an<br />
diesem Platz ein auf eigene Rechnung und Risiko<br />
arbeitender „Unternehmer» sitzt: Dieser kann je<br />
nach Tätigkeit durchaus zu Recht beanspruchen,<br />
am Arbeitsplatz parallel zum Firmenrechner einen<br />
eigenen PC mit Internetzugriff einzusetzen oder<br />
mit seinem eigenen Gerät Zugriff auf Daten des<br />
Auftraggebers zu bekommen.<br />
Erheblich flexiblere Information Security<br />
<strong>Management</strong> Konzepte und ein stetiger<br />
Information Security Risikodialog sind<br />
gefragt als früher<br />
Zunehmend sind erheblich flexiblere Sicherheits kon-<br />
zepte gefragt als früher. Ein weiterer Punkt ist, dass<br />
die unternehmerisch gewollte Tendenz zu weni-<br />
ger festen Arbeitsverhältnissen indirekt eine immer<br />
selbstbewusster auftretende Arbeitnehmerschaft<br />
nach sich zieht: Wer überwiegend kurzfristige<br />
Engagements eingeht, wird darauf achten müssen,<br />
sich über Social (Business-)Networks und private<br />
Kommunikation auch während der Arbeitszeit für<br />
die berufliche und soziale Zukunft abzusichern.<br />
Diese Tendenz zur Vernetzung zu unterbinden<br />
wäre offensichtlich unfair und ist damit auch für<br />
Unternehmen langfristig nicht durchsetzbar.<br />
Wie auch immer die technischen Lösungen für<br />
diese Probleme aussehen - Arbeitgeber müssen<br />
sich auf die häufig beschworenen „unternehme-<br />
RM <strong>Risk</strong> <strong>Management</strong> AG - Security & <strong>Risk</strong> Consultants
isch denkenden Mitarbeiter» der Digital-Native-<br />
Generation heute so weit einstellen, dass sie auch<br />
deren Ansprüche an Kommunikationsfreiheit erfül-<br />
len können!<br />
Zu schaffen ist dies nur über einen sicherheits-<br />
orientierten IT-Service, dem Information Security<br />
<strong>Management</strong> und der Information Security <strong>Risk</strong><br />
Awareness, der mit individuellen Zugriffssteu-<br />
erungen für Einzelressourcen arbeitet, nicht aber<br />
mit der Kapselung von Infrastrukturen.<br />
Information Security Risiken am<br />
Endpoint flexibel und Zielgruppen ori-<br />
entiert managen und beherrschen<br />
Ermitteln Sie vollautomatisch alle Information<br />
Security Risiken am Endpoint: Genutzte Ports,<br />
Devices, Anwendungen, Austausch kritischer<br />
Dateien, verbundene Netze etc. Definieren Sie auf<br />
dieser Basis Ihre individuelle Sicherheitskultur mit<br />
Freiräumen, Verboten und Systems <strong>Management</strong><br />
Zielen - ganz ohne Aufwand.<br />
Schützen Sie Ihre CITRIX- und Terminal-Server<br />
vor allen unerwünschten Daten, dem unerlaubten<br />
Datenabfluss (Data Loss) und vor nicht erwünschten<br />
mobilen Anwendungen (portable apps). Der Schutz<br />
basiert nicht nur auf Dateinamen, sondern geht über<br />
den Content Filter und die Pattern Prüfung tief in die<br />
Dateien hinein.<br />
Data Leakage Prevention: Verschlüsselung kann<br />
mit persönlichen Schlüsseln oder einem Firmen-<br />
schlüssel erzwungen werden. Sie sind compli-<br />
ant und Ihre Daten bleiben im Unternehmen.<br />
Firmenschlüssel sind nur auf Firmenrechnern ver-<br />
wendbar. Datenlecks werden geschlossen - erlaub-<br />
te Dateibewegungen protokolliert.<br />
Ein Datendiebstahl durch eigene<br />
Mitarbeiter oder Informationsbeschaffer<br />
wie in Liechtenstein muss nicht sein!<br />
In Krisenzeiten nimmt das Risiko des Datendieb-<br />
stahls durch eigene Mitarbeiter oder professionel-<br />
le Informationsbeschaffer (Wirtschaftsspione) zu.<br />
Unzufriedene Mitarbeiter erhöhen ihren Marktwert<br />
zum Beispiel durch «mitgenommene Daten“.<br />
Diesem Trend können sie entgegentreten. Mit spe-<br />
ziellen Applikationen bestimmen Sie, wer welche<br />
Programme nutzen darf. Als weltweite Alleinstellung<br />
können sie zusätzlich den Zugriff der Anwendungen<br />
auf alle Dateien kontrollieren - lesend oder schrei-<br />
bend - unabhängig von den Nutzerrechten, nach<br />
Liechtenstein muss nicht sein!<br />
In Krisenzeiten nimmt das<br />
Risiko des Datendiebstahls zu.<br />
Unzufriedene mitarbeiter erhöhen<br />
ihren Marktwert durch «mitgenommene»<br />
Daten.<br />
Namen und Inhalt. Sicherheitsverantwortliche müs-<br />
sen heute also damit rechnen, dass zumindest<br />
der eine oder andere neue Mitarbeiter bei aller<br />
oberflächlichen Souveränität im Umgang mit Social<br />
Media Nachhilfe beim Internet Basiswissen benö-<br />
tigt. Sie können sogar vor der enormen Aufgabe<br />
stehen, eine lang eingeübte, potenziell riskante<br />
Haltung zur Verbreitung von Informationen im Web<br />
ändern zu müssen.<br />
Information Security <strong>Risk</strong> Assessments<br />
durchführen<br />
Um herauszufinden, was getan werden muss, kom-<br />
men Unternehmen nicht umhin, in ihre Information<br />
Security <strong>Risk</strong> Assessments in Zukunft den „Faktor<br />
Mensch» mit einzubeziehen und die Belegschaften<br />
- anonymisiert - auch nach ihrem Wissensstand und<br />
ihren Einstellungen in Sachen Internetnutzung und<br />
Datenschutzaspekten zu befragen.<br />
Der eventuell folgende Versuch, bereits eingeschlif-<br />
fenes Verhalten sicherheitsorientiert zu beeinflussen,<br />
wird besonders dann schwierig sein, wenn einem<br />
Digital Native bis zum Eintritt in ein Unternehmen<br />
keine negativen Erfahrungen mit der Auswertung<br />
der von ihm ins Internet gestellten Informationen<br />
gemacht hat. Information Security <strong>Management</strong><br />
RM <strong>Risk</strong> <strong>Management</strong> AG - Security & <strong>Risk</strong> Consultants
und die Information <strong>Risk</strong> Awareness Massnahmen<br />
sollten gerade in diesem Fall nicht mit erhobe-<br />
nem Zeigefinger und Verboten einhergehen! Die<br />
Verantwortlichen sollten mögliche Auswirkungen<br />
eines bestimmten Tuns geduldig erklären. Zunächst<br />
gilt es zu vermitteln, dass in einer neuen sozialen<br />
Umgebung, wie sie ein Unternehmen bildet, auch<br />
neue Bedingungen fürs Webverhalten gelten kön-<br />
nen - etwa die Pflicht, bestimmte berufliche oder<br />
geschäftliche Informationen geheim zu halten<br />
Information Security <strong>Management</strong><br />
Arbeitsregelungen brauchen Recht-<br />
fertigung und einen persönlichen<br />
Risikodialog<br />
Den Mitarbeitem muss ausserdem bewusst wer-<br />
den, dass sich scheinbar harmlose persönliche<br />
Informationen über einen Einzelnen für Social-<br />
Engineering Angriffe gegen die soziale Gemeinschaft<br />
missbrauchen lassen, die sein Unternehmen dar-<br />
stellt. Leichter fallen wird die Vermittlung entspre-<br />
chender Lerninhalte dabei Unternehmen, die selbst<br />
eine ethisch einwandfreie Position einnehmen und<br />
auf dieser Basis akzeptable interne Verhaltensregeln<br />
aufgestellt haben.<br />
Sorgfältig begründete und ethisch fundierte Regeln<br />
werden besonders für Untemehmen wichtig sein,<br />
die vornehmlich „Wissensarbeiter» beschäftigen<br />
wollen.<br />
Kopfschmerzen für Sicherheitsver-<br />
antwortliche: Digital Natives möchten<br />
immer alles ausprobieren<br />
Kopfschmerzen bereitet vielen IT-Verantwortlichen<br />
auch die Tendenz von Digital Natives, jede neue<br />
Kommunikationsform weitaus schneller auszupro-<br />
bieren, als eine IT-Abteilung sie auf Risiken abklopfen<br />
kann. Auch dieses Problem wird sich wohl nur über<br />
Information Security Awareness Massnahmen lösen<br />
lassen: Die Sicherheitsverantwortlichen müssen<br />
auf potenzielle Risiken aufmerksam machen. Dies<br />
erfordert aber auch, entsprechende Massnahmen<br />
als gleichwertiges Mittel gegen Risiken anzusehen<br />
und dabei die gleiche Sorgfalt und Energie einzu-<br />
setzen wie für technische Sicherheitssysteme!<br />
Sinnvoll könnte es auch sein, Anwender in Security-<br />
Bewertungsprozesse einzubeziehen - zum Beispiel<br />
indem man besonders Interessierten die Nutzung<br />
einer neuen Kommunikationstechnik in einer abge-<br />
schotteten Umgebung erlaubt und sie bittet, selbst<br />
nach Gefahrenpotenzial zu suchen. Dies wäre dop-<br />
pelt vorteilhaft: Man würde die Experimentierfreude<br />
Kopfschmerzen<br />
für Sicherheitsverantwortliche:<br />
Digital<br />
Natives möchten<br />
immer alles ausprobieren<br />
der Internetgeneration dazu nutzen, effizientere<br />
Kommunikationsformen ausfindig zu machen, und<br />
die Anwender gleichzeitig Sicherheitsaspekte sen-<br />
sibilisieren.<br />
Instant Messaging ist zum Beispiel in bestimmten<br />
Projektphasen alles andere als ein unutzes Add-On,<br />
sondern effizienter als E-Mail — und mit einem Wiki<br />
lässt sich eine Informationsquelle in einer virtuellen<br />
Gruppe besser aufbauen und pflegen als mittels<br />
klassischem Textaustausch per E-Mail mit anschlie-<br />
ssender offizieller Übergabe an den Webmaster.<br />
Als probate Massnahme gegen den Missbrauch<br />
von unternehmensinternen Blogs und Wikis haben<br />
manche CISOs (Chief Information Security Officers)<br />
die persönliche Anmeldung zur Pflicht gemacht —<br />
so können sie unerwünschte Manipulationen im<br />
Schutz der Anonymität unterbinden.<br />
Mein Text, Dein Text,...<br />
Besondere Sorge macht vielen Sicherheitschefs<br />
die Gefahr der Missachtung geistigen Eigentums<br />
durch Digital Natives: Es gilt als typisch für sie,<br />
vorgefundene Inhalte ohne grosse Bedenken<br />
zum Ausgangspunkt „kreativer Umformungen» zu<br />
machen. Untersuchungen haben ausserdem belegt,<br />
dass ein beträchtlicher Teil der Digital Natives tat-<br />
sächlich hinter der Forderung steht, Informationen<br />
im Internet sollten frei sein. Hier Grenzen aufzuzei-<br />
gen, wäre eigentlich Aufgabe der Schulen.<br />
RM <strong>Risk</strong> <strong>Management</strong> AG - Security & <strong>Risk</strong> Consultants
Fazit - Information Security <strong>Management</strong><br />
und Information <strong>Risk</strong> Awareness Risiken<br />
treiben die Unternehmensrisiken ganz<br />
wesentlich<br />
Die Erfolgskriterien für Information Security Manage-<br />
ment sind für eine Geschäftsleitung kaum existent.<br />
Erst durch Schäden verursachte Kosten machen<br />
sich sichtbar - auch in der lCT gilt also: If you think<br />
it›s expensive, try an accident.<br />
Die gesetzlichen und unternehmerischen Anfor-<br />
derungen (Privacy, Know how Schutz bzw. Schutz<br />
vor Datendiebstahl) werden die Unternehmen<br />
stark fordern. Implementiert man ein Information<br />
Security <strong>Risk</strong> <strong>Management</strong> mit integriertem<br />
Information Security <strong>Risk</strong> Awareness richtig in die<br />
Prozesslandschaft erhält das <strong>Management</strong> zwei<br />
äusserst wertvolle Führungsinstrumente.<br />
Wertorientierte Unternehmensführung mit Fokus<br />
auf den Informationsschutz (Schutz von bedeuten-<br />
den Informationswerten im Unternehmen) bedeutet<br />
Informations <strong>Management</strong> Chancen und Risiken<br />
richtig und umfassend abzuwägen. Darauf basiert<br />
letztendlich der unternehmerische Erfolg und ins-<br />
besondere der Wettbewerbsvorsprung gegenüber<br />
Mitbewerbern.<br />
Key Information Security <strong>Risk</strong>s (Business Prozess,<br />
IT und Infrastruktur Risiken) sollten in jedem Fall<br />
transparent identifiziert werden, um daraus die<br />
notwendigen Information Security <strong>Management</strong><br />
und Information Security <strong>Risk</strong> Awareness<br />
Massnahmen ableiten zu können. Methodische<br />
Vorlagen zur Umsetzung von zeitgemässen und<br />
adäquaten Massnahmen sowie neutrale Beratungs-<br />
und Schulungsunterstützung sind bei RM <strong>Risk</strong><br />
<strong>Management</strong> AG (www.rmrisk.ch) erhältlich.<br />
Fazit - Information<br />
Security<br />
<strong>Management</strong><br />
und Information<br />
<strong>Risk</strong> Awareness<br />
Risiken treiben die<br />
Unternehmensrisiken<br />
ganz wesentlich!<br />
RM <strong>Risk</strong> <strong>Management</strong> AG - Security & <strong>Risk</strong> Consultants
Information Security Lösungen für KMUs<br />
Umfassende Lösungsmodule mit<br />
zahlreichen, praxisbewährten<br />
Inhalten und Vorlagen.<br />
Opti<strong>Risk</strong>® ISEC wird individuell auf<br />
Ihre Branche und Firmengrösse<br />
angepasst und umfasst sämtliche<br />
Aspekte eines Information Security<br />
<strong>Management</strong>s.<br />
Der umfassende Lösungsansatz ist<br />
mit zahlreichen, praxisbewährten<br />
Wissenspaketen (Content) ausgestat-<br />
tet, welche Ihnen erlauben die<br />
Projektdurchlaufzeit und damit<br />
auch die Kosten und Bindung<br />
Ihrer eigenen Ressourcen auf<br />
ein Minimum zu reduzieren.<br />
Die ISEC Lösung ist ohne spe-<br />
ziellen Schulungsaufwand für<br />
den Benutzer sofort einsetzbar.<br />
Sie ist bedienungsfreundlich<br />
und sorgt für die konsistente<br />
Umsetzung eines Information<br />
Security <strong>Management</strong>s durch ein-<br />
fache Implementierung von metho-<br />
disch aufgebauten Vorlagen.<br />
KMU LÖSUNGEN<br />
Opti<strong>Risk</strong> ® Module und Templates<br />
verursachen keine zusätzlichen<br />
Software und Schulungskosten. Sie<br />
sind deshalb gerade bei KMUs sehr<br />
beliebt. Für weitere Informationen<br />
über unsere Services und Produkte<br />
besuchen Sie bitte unsere Website:<br />
www.rmrisk.ch<br />
DEMO VIDEOS<br />
Demo-Videos zu unseren Produkten<br />
finden Sie auf unserer Website:<br />
www.rmrisk.ch<br />
6 Fragen an das <strong>Management</strong> / VR - Impulse und Tips<br />
Sechs Fragen an den Verwaltungsrat und<br />
die Geschäftsleitung<br />
F1: Erfolgt eine regelmässige und syste-<br />
matische Neubeurteilung der wesentlichen<br />
Geschäftsausfallrisiken, verbunden mit einer<br />
stufengerechten Information über die eingelei-<br />
teten Massnahmen?<br />
F2: Wird die Wirksamkeit der internen IS<br />
Kontrolle von der Geschäftsleitung perio-<br />
disch mit dem Verwaltungsrat bzw. dem Audit<br />
Committee erörtert?<br />
F3: Werden die bestehenden Prozesse und<br />
Kontrollen regelmässig unter Berücksichtigung der<br />
tatsächlichen Risiken neu beurteilt und, falls notwen-<br />
dig, entsprechend angepasst?<br />
F4: Sind für die Business-kritischen Prozesse<br />
Business Continuity und Disaster Recovery Pläne<br />
vorhanden?<br />
.<br />
F5: Ist der IT Krisenstab ausreichend<br />
trainiert und vorbereitet auf ausserordent-<br />
liche Ereignisse?<br />
F6: Sie sollten alle 18 Monate den<br />
Krisenstab im Rahmen einer Übung tes-<br />
ten. Wann erfolgte die letzte Übung?<br />
EYE ON RISK<br />
Current <strong>Risk</strong> Trends<br />
Leider werden Risiken in den<br />
Unternehmen und Verwalt-<br />
ungen immernoch zu sehr<br />
unter Berücksichtigung der<br />
Eintrittswahrscheinlichkeit beurteilt.<br />
Eintrittswahrscheinlichkeitsdaten<br />
basieren auf Vergangenheitswerten<br />
und berücksichtigen die Zukunfts-<br />
entwicklungen zu wenig.<br />
Die Frage «Sind wir auf solche<br />
Ereignisse überhaupt vorbereitet<br />
und wie gehen wir vor?» ist deshalb<br />
entscheidend.<br />
«<strong>Management</strong> by Hoffnung» ist und<br />
war noch nie eine Lösung!<br />
UNSERE SERVICES<br />
www.rmrisk.ch<br />
Projektmanagement<br />
Fachliche und methodische Beratung<br />
Erarbeitung des ISMS<br />
ISnformation Security Fachdokumente<br />
Anpassung der ISMS Menustrukturen<br />
Coaching & Support vor Ort<br />
Schulung der Mitarbeitenden<br />
E-Learning<br />
© copyright by RM <strong>Risk</strong> <strong>Management</strong> AG
Professional<br />
Consulting &<br />
Development<br />
Den Risiken die richtigen und<br />
wirksamen Massnahmen gegen-<br />
überzustellen bzw. bestehende<br />
Massnahmen zu optimieren,<br />
erfordert Weitsicht, viel Erfahrung<br />
im Umgang mit Risiken und<br />
Praxisnähe. Eigenschaften, auf<br />
welche unsere Kunden seit 1988<br />
zählen.<br />
CONSULTING …<br />
COACHING …<br />
TRAINING …<br />
AWARENESS …<br />
SUPPORT …<br />
<strong>Risk</strong> Times Publikation 03 Monat 07 Jahr 2011<br />
RM <strong>Risk</strong> <strong>Management</strong> AG<br />
Security & <strong>Risk</strong> Consultants<br />
Hertistrasse 25<br />
8304 Wallisellen / Zürich<br />
Schweiz<br />
Tel. +41 (0)44 360 40 40<br />
Fax +41 (0)44 360 40 41<br />
www.rmrisk.ch<br />
rm@rmrisk.ch<br />
© copyright by RM <strong>Risk</strong> <strong>Management</strong> AG<br />
PROJECT SOLUTIONS<br />
Neutrale, unabhängige Sicherheits-planung<br />
und Bauherrenberatung<br />
Security Engineering<br />
Betriebliche Sicherheitskonzepte<br />
Integrierte Sicherheitssysteme<br />
Brandschutzkonzepte<br />
Zutrittskonzepte<br />
Videoüberwachungskonzepte<br />
Einbruchschutzkonzepte<br />
Tür-Engineering für Sicherheitstüren und<br />
-schleusen<br />
Neutrale Sicherheitsexpertisen<br />
und -gutachen<br />
AWARENESS & SCHULUNG<br />
Individuelle SIBE Schulungen<br />
Mitarbeiter-Sensibilisierung im sicheren<br />
Umgang mit Geschäftsinformationen<br />
BUSINESS SOLUTIONS<br />
Enterprise <strong>Risk</strong> <strong>Management</strong><br />
Internes Kontrollsystem<br />
<strong>Risk</strong> Assessment Workshops<br />
Sicherheitsmanagement System<br />
und Organisation<br />
Information Security <strong>Management</strong><br />
Business Continuity <strong>Management</strong><br />
Krisenmanagement<br />
Notfallplan und Evakuierung<br />
Alarmmanagement<br />
mit virtuellen Alarmportalen<br />
E-Learning<br />
Workshops<br />
Referate zur Förderung<br />
der Security & <strong>Risk</strong> Awareness