Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Grundlagen eines Sicherheits-Risikoprogramms


Tipps für den Aufbau eines Programms für das Sicherheits-Risikomanagement
Mithilfe der Kontrollmechanismen, die im Standard ISO 27002 vorgeschlagen werden, kann man sich auf die relevanten Geschäftsbereiche fokussieren, um Implementierungsrichtlinien festzulegen



Von David Lewis, Manager für Governance, Risk und Compliance bei Imperva

Die Vielzahl und Schwere der Datensicherheitsverletzungen, auf die ein Unternehmen heute vorbereitet sein muss, zeigt, wie grundlegend wichtig es ist, im Hinblick auf die Datensicherheit ein Konzept und ein Ziel zu definieren. Compliance-Manager erleben tagtäglich, zu welchen katastrophalen Konsequenzen es führen kann, wenn dies versäumt wird. Aus diesem Grund werden im Folgenden die Grundlagen des Risikomanagements noch einmal zusammengefasst.

Die Grundlagen des Sicherheits-Risikomanagements
Das A und O des Risikomanagements ist ein grundlegendes, vom Management unterstütztes, fähiges und mit den nötigen Budgets ausgestattetes Sicherheitsprogramm. Es sollte darüber hinaus maßgeschneidert sein: eine Cut & Paste-Sicherheitslösung wird nicht zum Zielführen. Die spezifische Anpassung der Lösung an die Anforderungen des Unternehmens ist deshalb ein unverzichtbares Element jedes Risikomanagementprogramms.
Das Schlüsselwort, auf das es hier ankommt, lautet Risiko. Welche Risiken bestehen für das Unternehmen, seine Prozesse, Mitarbeiter, Technologien und Systeme? Bei der Betrachtung dieser Faktoren müssen Unternehmen die Risiken, die Kosten und die potenziellen Vorteile der Implementierung sorgfältig gegeneinander abwägen.

ISO 27001: Ein Programm-Framework
Die ISO (Internationale Organisation für Normung) hat mit ISO 27001 (https://www.iso.org/standard/54534.html) Leitlinien in Form eines strukturierten Rahmenwerks für die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) herausgegeben. Es basiert auf den in Abb. 1 dargestellten Anforderungen an Unternehmen und Institutionen und beschreibt detailliert, wie mit diesen umzugehen ist. Dabei werden sowohl solide Sicherheitsprogramme als auch künftige Zertifizierungen abgedeckt (sollte dies ein Ziel sein).

Dies ist allerdings nur ein Rahmenwerk. Ebenso wichtig ist das Verständnis für die Mitarbeiter, die Unternehmenskultur, die IT-Infrastruktur und die Assets. Zu wissen, wie Geschäftsfunktionen in einem Unternehmen ablaufen, ist von großem Vorteil, doch ist auch erst der Anfang.
Gemeinsam mit dem Management und den IT-Abteilungen aus dem Unternehmen sollten die bestehenden regulatorischen und rechtlichen Anforderungen an die Informationssicherheit ermittelt werden; insbesondere die Risikoeigner und Kontrolleigner. Wenn diese Daten gesammelt, analysiert und verarbeitet sind, können sie in das von ISO 27001 entworfene Rahmenwerk einfließen.

Identifizieren der Assets
Viele Unternehmen müssten sich nach einer Datenpanne zahlreiche Fragen stellen, doch zu den dringlichsten gehören die folgenden:
• >> Haben wir uns auf das Wichtigste konzentriert – die Assets, wie wir sie in der IT-Sicherheit gern nennen –, beispielsweise die Kreditkartennummern und biometrischen Daten der Kunden?
• >> Haben wir die Bedrohungen und Risiken für das Unternehmen umfassend verstanden?
• >>Wurde das Management über die Ergebnisse der obigen Überlegungen informiert (sofern welche erzielt wurden)?
Das Ziel jedes Risikomanagement-Projekts besteht darin, die wichtigsten Assets zu schützen, über die ein Unternehmen verfügt. Doch bevor diese Assets geschützt werden können, müssen sie erst einmal ermittelt werden.

Der erste Schritt wäre die Beantwortung der folgenden Fragen:
• >> Was sind meine sensibelsten Assets?
• >> In welchen Bereichen sind sie den größten Risiken ausgesetzt?
• >> Wie schützen wir diese Assets? – Menschen, Prozesse, Technologien und physische Systeme
• >> Ist dieser Ansatz sinnvoll?
• >> Welche Risiken (Restrisiken) bleiben bestehen und sind für das Management akzeptabel?
Die Antworten auf diese Fragen bilden die Grundlagen eines Sicherheits-Risikoprogramms.

Aufbau des Programms
ISO 27002
Mithilfe der Kontrollmechanismen, die im Standard ISO 27002 vorgeschlagen werden, kann man sich auf die relevanten Geschäftsbereiche fokussieren, um Implementierungsrichtlinien festzulegen. Der Standard beschreibt dabei über 100 verschiedene Kontrollen.

Dokumentation
Das ist ein besonders schwieriger Punkt, doch um ein konkretes Programm umsetzen zu können, ist eine Dokumentation ein Muss, die im Einklang mit den Geschäftsprozessen steht und vom Management überprüft und abgesegnet wird. Eine saubere Dokumentation ist aus den folgenden Gründen unerlässlich:
• >> Um Klarheit über die tatsächlichen Prozesse zu gewinnen
• >> Um den Kontrolleignern offiziell die Verantwortung dafür zu übertragen, die Prozesse und entsprechenden Kontrollen durchzuführen
• >> Um die neuen Prozesse vom Management prüfen und genehmigen zu lassen – was Verantwortlichkeit schafft und damit Engagement für die Prozesse gewährleistet

Eine gemeinsame Aufgabe
Soll beispielsweise etwas so Facettenreiches und Komplexes wie ein ISMS (Information Security Management System)-Programm aufgebaut werden, kann dies unmöglich isoliert geschehen. Eine enge Zusammenarbeit mit der IT-, Finanz- und Rechtsabteilung ist dabei nötig, um nur einige Bereiche zu nennen. Wer darüber hinaus an dem Prozess beteiligt werden sollte, wird von Unternehmen zu Unternehmen verschieden sein. Die Einbindung externer Prüfer, die umfangreiche Erfahrung in der Entwicklung von ISMS-Programmen haben, wird jedoch dazu beitragen, den komplexen Prozess etwas reibungsloser zu gestalten.

Fazit: Freundlichkeit und Cleverness zahlen sich aus
IT-Sicherheitsfachleute müssen freundlich, zäh und clever sein (egal, in welcher Reihenfolge). Beim Aufbau des Sicherheits-Risikomanagement-Programms werden viele Mitarbeiter in den Auditoren oder Compliance-Managern eher einen Feind sehen, doch wie in jeder guten Beziehung müssen die speziellen Fähigkeiten und Perspektiven, die jeder Einzelne einbringt, geschätzt werden.

Es kann durchaus sein, dass ein Experte für Security Management bei Themen wie Sicherheitsempfehlungen und Best Practices mit anderen in Konflikt gerät, doch sollte er bestrebt sein, in Debatten stets sachlich zu bleiben. Sobald sich das Sicherheitsprogramm für das Unternehmen und die Stakeholder auszuzahlen beginnt, werden Konflikte seltener werden, auch wenn dies nicht über Nacht geschehen wird und Engagement und Fokus erfordern wird.

Die nachfolgenden Links beinhalten weiterführende Informationen zum Thema:
ISO 31000 Risk Management
https://www.iso.org/iso-31000-risk-management.html
COSO Enterprise Risk Management
https://www.coso.org/Pages/ermupdate.aspx
(Imperva: ra)

eingetragen: 23.02.18
Newsletterlauf: 03.04.18

Alcatel Lucent Enterprise: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen