SECURITY insight 6/10
SECURITY insight 6/10
SECURITY insight 6/10
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Organisation<br />
Im Fokus: Logistik und Verkehr<br />
auch hier sowohl die Haftung mit dem<br />
Privatvermögen als auch eine Haftstrafe<br />
nach sich ziehen können.<br />
Um die IT-Risiken im Sinne der gesetzlichen<br />
Regelungen beachten zu können,<br />
muss es ein permanentes IT-Risikomanagement<br />
und IT-Sicherheitsprozesse<br />
geben, die auf die spezielle Unternehmenssituation<br />
ausgerichtet sind. Ein<br />
wesentlicher Erfolgsfaktor dafür ist die<br />
organisatorische Positionierung des IT-<br />
Risikomanagements und der verantwortlichen<br />
Personen innerhalb des Unternehmens.<br />
Insbesondere die Ausgestaltung<br />
der Rolle eines „Chief Information Security<br />
Officers“ (CISO) sowie seine Einordnung<br />
in die Aufbauorganisation und das<br />
Zusammenspiel mit dem Gesamtrisiko-<br />
Management ist wesentlich.<br />
Der CISO sollte den direkten Berichtsweg<br />
zur Geschäftsleitung und dem für<br />
das Gesamtrisikomanagement Verantwortlichen<br />
haben. Zudem sollte ihm die<br />
Geschäftsführung mit dem notwendigen<br />
Handlungsspielraum ausstatten, um die<br />
erforderlichen Maßnahmen im Unternehmen<br />
durchzusetzen. Bei der Einordnung in<br />
die Organisation ist zu beachten, dass der<br />
CISO nicht in die IT-Organisation eingegliedert<br />
wird! Es besteht sonst die Gefahr,<br />
dass auf aufwändige Sicherheitsmaßnahmen,<br />
die im Interesse des Gesamtunternehmens<br />
liegen, zu Gunsten kurzfristiger<br />
Einsparungen in der IT-Organisation<br />
verzichtet wird. Ebenso sollte dem CISO<br />
neben den Durchsetzungs- und Kontrollaufgaben<br />
nicht zusätzlich die Durchführungsverantwortung<br />
obliegen (mögliche<br />
Interessenkonflikte).<br />
IT-Compliance erreichen und<br />
IT-Risiken beherrschen<br />
Optimale organisatorische Positionierung<br />
allein ist noch kein Garant für den Erfolg.<br />
Ohne eine systematische Methode, die<br />
an den individuellen Erfordernissen des<br />
Unternehmens ausgerichtet ist, dabei<br />
alle branchenspezifischen Anforderungen<br />
abbildet, die Compliance berücksichtigt<br />
und die vollständige Analyse und<br />
Behandlung aller IT-Risiken erlaubt, wird<br />
Foto: gradt - Fotolia.com<br />
Sicherheits- und IT-Verantwortliche sind<br />
haftbar, wenn sie die (IT-)Risiken ihres<br />
Geschäfts ignorieren und kein Überwachungssystem<br />
eingerichtet haben. Wer<br />
da nicht rechtzeitig vorgesorgt hat, für<br />
den wird es eng…<br />
Am Ende des Tages sollte jeder Sicherheits-<br />
und IT-Verantwortliche entspannt<br />
seinen Computer herunterfahren können.<br />
das IT-Risikomanagement nur schwerlich<br />
das gewünschte Resultat bringen.<br />
Die WMC Wüpper Management Consulting<br />
GmbH hat dafür die Business-<br />
Management-Lösung QSEC-Suite entwickelt,<br />
mit der Unternehmen bereits<br />
erfolgreich im In- und Ausland vom TÜV<br />
auditiert wurden. Es handelt sich dabei<br />
um eine komplette Lösung für Aufbau und<br />
Betrieb des Compliance- und IT-Risikomanagements.<br />
Neben der Methode bietet<br />
das System viele Unterstützungsfunktionen<br />
und ist in der Lage, die umfassenden<br />
Abhängigkeiten methodisch, flexibel und<br />
mandantenfähig zu managen. Technisch<br />
erlaubt die Lösung alle erzielten Erkenntnisse<br />
über die Nutzung der integrierten,<br />
datenbankgestützten Funktionen regelmäßig<br />
zu überprüfen, mit dem Ziel, abzugleichen<br />
und entsprechende Maßnahmen<br />
zu entwickeln, zu managen und in<br />
die Praxis umzusetzen.<br />
Dabei werden, ausgehend von den<br />
Geschäftsprozessen, die wesentlichen<br />
Fakten und Bestände im Complianceund<br />
Risikomanagement erkannt, Bedrohungen<br />
identifiziert und Schwachstellen<br />
ermittelt. Die daran anschließende Maßnahmenplanung<br />
ist so gestaltet, dass der<br />
optimale Einsatz von Mitarbeitern und<br />
Budget erzielt wird. Durch die geführte<br />
Vorgehensweise, umfangreiche Musterdokumente,<br />
Fragenkataloge und Bewertungshilfen<br />
nach Best Practice und internationalen<br />
ISO-Standards werden interne<br />
und externe Aufwendungen nachhaltig<br />
reduziert (30 bis 50 Prozent Einsparung<br />
bei internen und externen Kosten). Alle<br />
Veränderungen und Verbesserungen<br />
werden in einem sich ständig wiederholenden<br />
Kreislauf („Plan-Do-Check-Act“,<br />
PDCA-Verfahren) verfolgt, dokumentiert<br />
und eine lückenlose Historie über das<br />
integrierte Dokumentenmanagement<br />
sichergestellt. Es besteht die Möglichkeit,<br />
Standardberichte tagesaktuell und umfassend<br />
zu erstellen und einzusehen sowie<br />
um individuelle Berichte zu ergänzen. Das<br />
erhöht ganz nebenbei das Vertrauen und<br />
die Zufriedenheit der Geschäftspartner.<br />
Die so gemanagten Prozesse reduzieren<br />
Ausfälle, gewährleisten den schnelleren<br />
Wiederanlauf und steigern die Rentabilität<br />
im Unternehmen.<br />
www.wmc-direkt.de<br />
Foto: Deutsche Post DHL<br />
Wir sind drin!<br />
Ein ehrgeiziges Projekt: Die Deutsche Post DHL vernetzt ihre Sicherheitstechnik in Deutschland<br />
Von Rainer Henß<br />
Die Vernetzung von Menschen und Organisationen durch Nachrichten und<br />
Waren ist für die Deutsche Post DHL Kerngeschäft. So bringt der internationale<br />
Logistikdienstleister täglich mit über 70 Millionen Brief- und Paketsendungen<br />
Menschen in Deutschland buchstäblich einander näher. Möglich wird dies<br />
durch ein effektives Netzwerk von Sortier- und Verteilzentren. In Deutschland<br />
sind 33 Paket- und 82 Briefsortierzentren so miteinander verbunden, dass mehr<br />
als 95 Prozent aller Briefe und fast 90 Prozent der Pakete am Folgetag beim Empfänger<br />
ankommen.<br />
Weitsichtig<br />
In diesem Jahr hat der Konzern begonnen,<br />
auch seine Sicherheitstechnik in<br />
Deutschland zu vernetzen, um sie noch<br />
flexibler und bedienfreundlicher, aber<br />
auch kosteneffizienter zu gestalten.<br />
Damit wird die zunächst letzte Phase<br />
eines Prozesses eingeläutet, der bereits<br />
im Jahre 2002 begann und der sicherlich<br />
innerhalb der Logistikbranche als<br />
Meilenstein gelten kann. Damals wurde<br />
für die Betriebsgebäude des Brief- und<br />
Paketbereichs in Deutschland neue<br />
Sicherheitstechnik ausgeschrieben,<br />
die zum einen Zutrittskontroll- und Einbruchmeldefunktionen<br />
in einer nach<br />
VdS-Klasse C zertifizierten Zentrale vereinigt<br />
und zum anderen netzwerkfähig<br />
war, um auf künftige Organisationsveränderungen<br />
flexibel reagieren zu können.<br />
Welche Weitsicht die Verantwortlichen<br />
der Konzernsicherheit durch die<br />
Standardisierung und Ausflächung der<br />
Sicherheitstechnik damals bewiesen,<br />
wurde schnell klar, als 2004 die Organisation<br />
der Deutschen Post geändert und<br />
die Zahl von bislang 115 auf nur noch 49<br />
Niederlassungen reduziert wurde.<br />
Durch die einheitliche Technik konnte<br />
diese Veränderung unkompliziert und mit<br />
42<br />
Security <strong>insight</strong> 6/20<strong>10</strong> 43