Grundlagen eines Sicherheits-Risikoprogramms
Tipps für den Aufbau eines Programms für das Sicherheits-Risikomanagement
Mithilfe der Kontrollmechanismen, die im Standard ISO 27002 vorgeschlagen werden, kann man sich auf die relevanten Geschäftsbereiche fokussieren, um Implementierungsrichtlinien festzulegen
Von David Lewis, Manager für Governance, Risk und Compliance bei Imperva
Die Vielzahl und Schwere der Datensicherheitsverletzungen, auf die ein Unternehmen heute vorbereitet sein muss, zeigt, wie grundlegend wichtig es ist, im Hinblick auf die Datensicherheit ein Konzept und ein Ziel zu definieren. Compliance-Manager erleben tagtäglich, zu welchen katastrophalen Konsequenzen es führen kann, wenn dies versäumt wird. Aus diesem Grund werden im Folgenden die Grundlagen des Risikomanagements noch einmal zusammengefasst.
Die Grundlagen des Sicherheits-Risikomanagements
Das A und O des Risikomanagements ist ein grundlegendes, vom Management unterstütztes, fähiges und mit den nötigen Budgets ausgestattetes Sicherheitsprogramm. Es sollte darüber hinaus maßgeschneidert sein: eine Cut & Paste-Sicherheitslösung wird nicht zum Zielführen. Die spezifische Anpassung der Lösung an die Anforderungen des Unternehmens ist deshalb ein unverzichtbares Element jedes Risikomanagementprogramms.
Das Schlüsselwort, auf das es hier ankommt, lautet Risiko. Welche Risiken bestehen für das Unternehmen, seine Prozesse, Mitarbeiter, Technologien und Systeme? Bei der Betrachtung dieser Faktoren müssen Unternehmen die Risiken, die Kosten und die potenziellen Vorteile der Implementierung sorgfältig gegeneinander abwägen.
ISO 27001: Ein Programm-Framework
Die ISO (Internationale Organisation für Normung) hat mit ISO 27001 (https://www.iso.org/standard/54534.html) Leitlinien in Form eines strukturierten Rahmenwerks für die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) herausgegeben. Es basiert auf den in Abb. 1 dargestellten Anforderungen an Unternehmen und Institutionen und beschreibt detailliert, wie mit diesen umzugehen ist. Dabei werden sowohl solide Sicherheitsprogramme als auch künftige Zertifizierungen abgedeckt (sollte dies ein Ziel sein).
Dies ist allerdings nur ein Rahmenwerk. Ebenso wichtig ist das Verständnis für die Mitarbeiter, die Unternehmenskultur, die IT-Infrastruktur und die Assets. Zu wissen, wie Geschäftsfunktionen in einem Unternehmen ablaufen, ist von großem Vorteil, doch ist auch erst der Anfang.
Gemeinsam mit dem Management und den IT-Abteilungen aus dem Unternehmen sollten die bestehenden regulatorischen und rechtlichen Anforderungen an die Informationssicherheit ermittelt werden; insbesondere die Risikoeigner und Kontrolleigner. Wenn diese Daten gesammelt, analysiert und verarbeitet sind, können sie in das von ISO 27001 entworfene Rahmenwerk einfließen.
Identifizieren der Assets
Viele Unternehmen müssten sich nach einer Datenpanne zahlreiche Fragen stellen, doch zu den dringlichsten gehören die folgenden:
• >> Haben wir uns auf das Wichtigste konzentriert – die Assets, wie wir sie in der IT-Sicherheit gern nennen –, beispielsweise die Kreditkartennummern und biometrischen Daten der Kunden?
• >> Haben wir die Bedrohungen und Risiken für das Unternehmen umfassend verstanden?
• >>Wurde das Management über die Ergebnisse der obigen Überlegungen informiert (sofern welche erzielt wurden)?
Das Ziel jedes Risikomanagement-Projekts besteht darin, die wichtigsten Assets zu schützen, über die ein Unternehmen verfügt. Doch bevor diese Assets geschützt werden können, müssen sie erst einmal ermittelt werden.
Der erste Schritt wäre die Beantwortung der folgenden Fragen:
• >> Was sind meine sensibelsten Assets?
• >> In welchen Bereichen sind sie den größten Risiken ausgesetzt?
• >> Wie schützen wir diese Assets? – Menschen, Prozesse, Technologien und physische Systeme
• >> Ist dieser Ansatz sinnvoll?
• >> Welche Risiken (Restrisiken) bleiben bestehen und sind für das Management akzeptabel?
Die Antworten auf diese Fragen bilden die Grundlagen eines Sicherheits-Risikoprogramms.
Aufbau des Programms
ISO 27002
Mithilfe der Kontrollmechanismen, die im Standard ISO 27002 vorgeschlagen werden, kann man sich auf die relevanten Geschäftsbereiche fokussieren, um Implementierungsrichtlinien festzulegen. Der Standard beschreibt dabei über 100 verschiedene Kontrollen.
Dokumentation
Das ist ein besonders schwieriger Punkt, doch um ein konkretes Programm umsetzen zu können, ist eine Dokumentation ein Muss, die im Einklang mit den Geschäftsprozessen steht und vom Management überprüft und abgesegnet wird. Eine saubere Dokumentation ist aus den folgenden Gründen unerlässlich:
• >> Um Klarheit über die tatsächlichen Prozesse zu gewinnen
• >> Um den Kontrolleignern offiziell die Verantwortung dafür zu übertragen, die Prozesse und entsprechenden Kontrollen durchzuführen
• >> Um die neuen Prozesse vom Management prüfen und genehmigen zu lassen – was Verantwortlichkeit schafft und damit Engagement für die Prozesse gewährleistet
Eine gemeinsame Aufgabe
Soll beispielsweise etwas so Facettenreiches und Komplexes wie ein ISMS (Information Security Management System)-Programm aufgebaut werden, kann dies unmöglich isoliert geschehen. Eine enge Zusammenarbeit mit der IT-, Finanz- und Rechtsabteilung ist dabei nötig, um nur einige Bereiche zu nennen. Wer darüber hinaus an dem Prozess beteiligt werden sollte, wird von Unternehmen zu Unternehmen verschieden sein. Die Einbindung externer Prüfer, die umfangreiche Erfahrung in der Entwicklung von ISMS-Programmen haben, wird jedoch dazu beitragen, den komplexen Prozess etwas reibungsloser zu gestalten.
Fazit: Freundlichkeit und Cleverness zahlen sich aus
IT-Sicherheitsfachleute müssen freundlich, zäh und clever sein (egal, in welcher Reihenfolge). Beim Aufbau des Sicherheits-Risikomanagement-Programms werden viele Mitarbeiter in den Auditoren oder Compliance-Managern eher einen Feind sehen, doch wie in jeder guten Beziehung müssen die speziellen Fähigkeiten und Perspektiven, die jeder Einzelne einbringt, geschätzt werden.
Es kann durchaus sein, dass ein Experte für Security Management bei Themen wie Sicherheitsempfehlungen und Best Practices mit anderen in Konflikt gerät, doch sollte er bestrebt sein, in Debatten stets sachlich zu bleiben. Sobald sich das Sicherheitsprogramm für das Unternehmen und die Stakeholder auszuzahlen beginnt, werden Konflikte seltener werden, auch wenn dies nicht über Nacht geschehen wird und Engagement und Fokus erfordern wird.
Die nachfolgenden Links beinhalten weiterführende Informationen zum Thema:
ISO 31000 Risk Management
https://www.iso.org/iso-31000-risk-management.html
COSO Enterprise Risk Management
https://www.coso.org/Pages/ermupdate.aspx
(Imperva: ra)
eingetragen: 23.02.18
Newsletterlauf: 03.04.18
Alcatel Lucent Enterprise: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>