Kategorien
Allgemein

ISM Informationssicherheitsmanagement

Ich denke, daß auch in Ihrem Unternehmen verbindliche und spezifizierte Mindestsicherheitsanforderungen für  Informationssysteme die Auswahl von Maßnahmen zur Erfüllung der Sicherheitsstandards (BSI, NIST) erforderlich sind. Sie werden einerseits die Entwicklung, Integration und den Betrieb von Informationstechnologien unterstützen und andererseits – durch Festlegung der Compliance für die Informationssicherheit – einen kohärenten, vergleichbaren und wiederholbaren Ansatz zur Auswahl von Sicherheitskontrollen, die diese Mindestsicherheit erfüllen, hervorbringen.

Bei der Beratung von Unternehmen ist es mein Ziel, daß die Informationssicherheitsbeauftragten die notwendigen Maßnahmen zur Basis-Absicherung von Vertraulichkeit, Integrität und Verfügbarkeit der Informationen, die von Ihren Informationssystemen verarbeitet, gespeichert und übertragen werden, umsetzen und dies dokumentieren. Die folgenden Bausteine gehören für mich zu einem ausgewogenen Informationssicherheitskonzept, das auch Rechts-, Management- und Betriebssicherheitsaspekte abdeckt:

Mitarbeiterschulung über Cybersecurity

Ich empfehle Unternehmen sicherzustellen, daß Administrator*innen und User*innen von Informationssystemen auf die mit ihren Tätigkeiten verbundenen Sicherheitsrisiken aufmerksam gemacht und ihnen die Anweisungen, Richtlinien, Standards, Vorschriften oder Verfahren, die im Zusammenhang mit der Sicherheit von Informationssystemen stehen, über Sichere Firmenkommunikation bekannt gemacht werden.

Das Personal sollte so unterstützt werden, daß es die ihm  zugewiesenen Pflichten und Verantwortlichkeiten im Zusammenhang mit der Informationssicherheit motiviert und selbstverständlich übernimmt. Mitarbeitende sollten bereit sein, Best Practices zur Cybersicherheit auch über die Grenzen der Unternehmensrichtlinien hinaus zu befolgen. Daher rate ich Unternehmen, ihre Sicherheitsrichtlinien in einer Weise zu kommunizieren, mit der Mitarbeitende etwas anfangen können. Denn wenn Ihre Regeln die täglichen Arbeitsprozesse stressiger oder problematischer machen, tendieren die Mitarbeitende zu riskantem Verhalten.

Support der Mitarbeitenden

Ich würde sehr darauf achten, daß Personen in verantwortlichen Positionen innerhalb Ihres Unternehmens (einschließlich von Drittanbietern) vertrauenswürdig sind und die Sicherheitsstandards für ihre Rolle aktiv erfüllen, sodaß interne Informationssysteme auch während und nach Personalmaßnahmen geschützt sind. Compliance, Engagement, sowie intelligente und zukunftsorientierte Führungskräfte, sind der erste Schritt, um Cybersicherheit zu einer festen Säule des Unternehmens zu machen.

Sie müssen Ihre Informationssicherheit so konzeptionieren, daß neben technologiebasierten Abwehrmaßnahmen vor allem proaktive Prozesse der Mitarbeitenden deren Schulungen bestimmen. Darüber hinaus sollte die IT-Abteilung mit Personal, Informationen und Werkzeugen ausgestattet werden, um Sicherheitsschulungen und -tests entsprechend den Bedürfnissen der Mitarbeitenden weiterzuentwickeln. Kontinuierliches Erarbeiten neuer und gemeinsamer Regeln ist der einzige Weg eingeschliffene Nachlässigkeiten zu beseitigen. Ist all das einmal durchgesetzt, sind auch Sanktionen für Verstöße gegen die Sicherheitsrichtlinien des Betriebs zulässig.

Zugangsmanagement AM

Darüber, den Zugriff auf Informationssysteme nur für autorisierte Benutzer und Prozesse zu erlauben, sollte man nicht mehr diskutieren. Wir müssen in diesen Zeiten sicherstellen, daß nur von durch Ihr Unternehmen berechtigte Benutzer oder Geräte (einschließlich externer Informationssysteme) Funktionen ausgeübt werden. Ein zweiter Faktor sollte selbstverständlich sein.

Identifizierungsmanagement IM

Sie sollten die Zugriffe auf Ihr Informationssystem identifizieren und die Berechtigungen dieser Benutzer, Prozesse, Geräte oder Dienste daraufhin überprüfen, ob im Sinne dieser autorisierten Benutzer oder Geräte gehandelt wird.

Secure Access Service Edge SASE

Da immer mehr Mitarbeitende remote arbeiten, bin ich für einen Security-Ansatz, der einen sicheren Zugriff auf Daten und Anwendungen von überall aus ermöglicht. Gemanagt werden moderne Netzwerke über die Cloud, sodaß Administratoren Security Patches einmal durchführen und sie auf sämtliche Clients ausrollen können.

Sichere Firmenkommunikation

Ich empfehle Unternehmen die Betriebskommunikation und Datenübermittlung zu überwachen, zu steuern und zu schützen. D. h. Informationen, die vom Betrieb über zentrale Innengrenzen an externe Informationssysteme gesendet oder von dort empfangen werden, sollten Sie besonders schützten (z.B. Ende-zu-Ende-Verschlüsselung). Ich bin dafür, Architekturentwürfe, Softwareentwicklung und systemtechnische Prinzipien, wie das Trennen des internen von externen Kommunikationssystemen, zu fördern, da sie effektive Informationssicherheit in internen und externen Kommunikationssystemen gewährleisten.

Risikobewertung

Meiner Meinung nach ist es unerlässlich, das Risiko für Geschäftsprozesse, Reputation, betriebliche Vermögenswerte und Einzelpersonen, das sich aus Störungen des Betriebs von IT-Systemen und der damit verbundene Verarbeitung, Speicherung oder Übermittlung von Informationen ergeben könnten, regelmäßig zu bewerten.

Security Information Management SIM

Ich rate Ihnen, aktuelle Übersichten über die kontinuierlich erzeugten Meldungen Ihrer kritischen Informationsressourcen zu erstellen und zu pflegen. Die dort zusammengefassten Meldungen erhalten Sie aus einem guten Monitoring. Die Meldungen können dann bewertet und geplante Maßnahmen ausgelöst werden. In den Maßnahmeplänen müssen Workflows implementiert sein, in denen Abwehr-, Notfallmaßnahmen, Datensicherungs- und Wiederherstellungsvorgänge während und nach einem Störfall festgelegt sind.

Security Event Management SEM

Wenn Notfallmaßnahmen angezeigt sind, müssen die Sicherheitspläne bereits entwickelt, dokumentiert, gelebt und auf dem aktuellen Stand sein. Die erwähnten spezifischen Workflows sind darin fixiert.

Die Notfallpläne müssen den zuständigen Personen, die auf die IT-Systeme zugreifen, ausdrücklich bekannt gemacht worden sein und diese Bekanntmachung muss planmäßig und dokumentiert erfolgen.

Automatisierte Abwehr (SOAR)

Auf der Basis einer vollständigen Übersicht über gefährdete Informationssysteme, sowie einer Meldung und Dokumentation von Vorfällen, können Systeme im Störfall mit teilautomatischer Erkennung, Analyse, Eindämmung und Wiederherstellung sofort reagieren und zuständige Administrator*innen per Alarm oder Benachrichtigung informieren, um keine wertvolle Zeit zu verlieren.

Monitoring

Monitoring ist das Herz jeder Sicherheitsarchitektur. Ich rate Ihnen dazu, 24/7 auf redundanten Kanälen Warnungen über den ganzen Prozess der IT-Verwaltung, Vorfälle und Probleme bei der Übertragung von Daten Meldungen zu generieren, die auf zweckmäßigen Boards zusammengefaßt werden. Und empfehle, für die Systemintegrität rechtzeitig mangelhafte Informationen zu identifizieren, zu melden, zu korrigieren und angemessene Orte für die Quarantäne von Malware vorzuhalten.

Sicherheitswarnungen Ihres Informationssystems sollten 24/7 überwacht und Gegenmaßnahmen sofort ergriffen werden. Dafür eignen sich meiner Meinung nach Monitore, die Sie über anstehende Probleme, informieren, bevor etwas passiert. Diese unterstützen regelmäßige, rechtzeitige Wartung Ihrer Informationssysteme und wirksame Kontrollen der Geräte, Dienste, Programme, sowie die Zugriffe des Wartungspersonals.

Asset Management ITAM

Der physikalische Zugriff auf die Speichermedien Ihres Informationssystems muss auf autorisierte Administratoren reduziert werden. Bei zerstörten oder zur Vernichtung freigegebenen Medien sollten diese die vorgeschriebene und sichere Entsorgung kontrollieren.

Ich rate Unternehmen, den physischen Zugang zu Informationssystemen, Geräten und physischer Anlageninfrastruktur nur befugten Personen zu gestatten. Sie sollten Ihre Informationssysteme auch vor Umweltgefahren schützen. Um beides sicherzustellen, sind angemessene Kontrollen, spezielle Software und Sicherheitssysteme für Geschäftsausstattungen, die Informationssysteme enthalten, empfehlenswert.

Konfigurations- oder Knowledgebase-Management

Ich stehe dafür, Versionierung der Konfigurationen und die Dokumentation von Informationssystemen, einschließlich Hardware, Firmware und Software, über den gesamten Lebenszyklus der jeweiligen Systementwicklung zu erstellen und zu verwalten. Sie sollten dafür Softwaresysteme etablieren und durchsetzen, in denen auch die aktuellen Sicherheitskonfigurationen für Firmware und Software dokumentiert und regelmäßig aktualisiert werden.

Prüfung und Rechenschaftspflicht

Ich denke, daß ein Audit Ihres Informationssystems obligatorisch ist, darüber eine Dokumentation erstellt werden muss und im erforderlichen Umfang sicher aufzubewahren ist. Die Aufzeichnung der Registrierung, Analyse, Untersuchung und Meldung von nicht autorisierten oder unangemessenen Aktivitäten im Informationssystem sollte die Geschäftsführung ebenfalls ermöglichen. Um Mitarbeitende zur Rechenschaft ziehen zu können, ist sicherzustellen, daß bestimmte Handlungen eindeutig auf bestimmte Benutzer zurückgeführt werden können.

Sicherheitsbewertung

Sie sollten in Ihrem Unternehmen regelmäßig Sicherheitskontrollen in den Informationssystemen durchführen, um zu bestimmen, ob Ihre Sicherheitsstandards wirksam sind. Zusätzlich empfehle ich ein Continual Service Improvement CSI zu entwickeln und umzusetzen, mit denen Mängel verringert oder beseitigt werden. Zur Dokumentation der Beseitigung von Schwachstellen in Ihren Informationssystemen rate ich, sich den Betrieb von einem Sicheren Informationssystem regelmäßig zertifizieren zu lassen und die damit verbundenen unabhängigen Sicherheitskontrollen des Systems zu begrüßen und Ihre Mitarbeitenden zur Zusammenarbeit mit den Auditoren zu motivieren.

Fazit:

ISM ist ein Prozess, der sich über alle betrieblichen Bereiche erstreckt und der die nicht nachlassende Aufmerksamkeit der Leitenden verdient. Allerdings ist die Informationssicherheit ein so vielschichtiges wie dynamisches Aufgabengebiet und die genannten Bausteine ein sehr guter Einstieg in dieses Thema: Im besten Fall setzen Sie alle um. Damit können Sie Ihr Unternehmen bereits auf ein gutes Sicherheitslevel anheben. Durch diesen initialen Prozess werden die meisten Security-Aspekte berücksichtigt, viele Fachverantwortliche beteiligt und Mitarbeitende sensibilisiert. Ich biete Ihnen dabei meine Hilfe an.