Blog
Beitrag teilen auf:
Organisatorische Schwachstellenanalyse: Abschied vom Blind Spot
Beim Thema IT und Sicherheit besitzen nicht wenige Unternehmen einen Tunnelblick. Dieser Blick fokussiert sich ausschließlich auf das Thema Technik. Geschäftsführung und CIOs sind überzeugt: Wenn unsere IT-Landschaft technisch auf einem aktuellen Stand ist und unser IT-System ein sinnvolles IT-Security-Niveau aufweist, ist alles in Ordnung.
Tatsächlich lässt man in dieser Gleichung einen wichtigen Aspekt außer Acht. Ein hohes technisches Sicherheitsniveau ist zwar Pflicht für jedes Unternehmen. Doch zur IT-Sicherheit gehört etwas, das man auch den Blind Spot der IT-Security nennen könnte: das sicherheitsrelevante Verhalten von Mitarbeitenden und die komplexen organisatorischen Prozesse, die von IT gestützt werden. Hier greift eine organisatorische Schwachstellenanalyse.
WIE GUT IST IHRE DERZEITIGE ORGANISATORISCHE SICHERHEIT?
Fragen Sie sich selbst: Führen Sie ein schriftlich festgehaltenes Regelwerk, in dem Sie den Mitarbeitenden aller Abteilungen vorgeben, wie sie sich im Umgang mit Browser, Clients, Servern, E-Mails und Anhängen, USB-Sticks, dem Hardware-Arbeitsplatz oder der An- und Abmeldung in Ihrem IT-System zu verhalten haben? Und wenn ja: Sind diese Vorgaben eindeutig, umfassend genug, verständlich und werden sie regelmäßig überprüft?
Wenn Sie nicht mit einem schnellen und klaren „Ja!“ antworten können, dann besitzt auch Ihr Unternehmen diesen Blind Spot – und über kurz oder lang wird er zu einem akuten Sicherheits-Vorfall werden.
KLARER BLICK IN EINEM KOMPLEXEN BEREICH
Natürlich, die Prozesse in einem Unternehmen sind von Natur aus komplex, und der Einblick, wo es hier Schwachstellen geben könnte, ist schwierig. Doch mit dem richtigen Vorgehen und den richtigen Werkzeugen gelingt es, einen deutlich klareren Blick auf die Situation zu erhalten und entsprechend geeignete Maßnahmen zu entwickeln. GISA kann hier unterstützen: Mit einem Service, der die typischen Schwachstellen in einer Organisation beleuchtet und dabei auch in Nischen und detaillierten Stolperfallen aufdeckt.
Bei der organisatorischen Schwachstellenanalyse schauen die Expertinnen und Experten von GISA externe Rahmenbedingungen und Dokumente genau an, die das Management, die Arbeit mit der IT und die Speicherung von Daten betreffen. Dazu zählen Aspekte, die jeder IT-Abteilung ein Begriff sein dürften: das Informationssicherheits-Managementsystem ISMS, der Datenschutz, die Informationssicherheit sowie die physische und umgebungsbezogene Sicherheit.
Sie überlegen, ob eine professionelle organisatorische Schwachstellenanalyse auch für Ihr Unternehmen infrage kommt? Erfahren Sie es hier!
EIN MACHBARER MASSNAHMENPLAN FÜR DIE PRAXI
Liegen die Ergebnisse in Form eines Ergebnisberichts vor, entwickeln die Sicherheitsexpertinnen und -experten von GISA konkrete Maßnahmenvorschläge, um die Schwachstellen besser in den Griff zu bekommen. Von der Definition sicherer Abläufe über die richtige Reaktion bei Angriffen bis zur klaren Rollenverteilung, wer im Normal- und Ernstfall für welche Sicherheitsroutine verantwortlich ist. Auch eine stichfeste Prozess- und Sicherheitsdokumentation ist häufig Teil eines sinnvollen Maßnahmenpakets genauso wie die Änderung von Serviceverträgen, um beispielsweise eine 24-Stunden-Verfügbarkeit zu etablieren.
Mit internen Ressourcen sind solche Analysen und die Entwicklung sinnvoller Maßnahmen häufig kaum machbar. Die eigene IT-Abteilung ist zu stark in das Tagesgeschäft eingebunden, so dass sie diesen Bereich weniger im Blick hat. Oder eine Firma ist so schnell gewachsen, dass sie ihre organisatorischen Prozesse aus Sicherheitssicht nicht nachziehen konnte. Startups sind dafür klassische Beispiele, aber auch mittelständische Unternehmen, bei denen zwar 350 Angestellte arbeiten, aber nur zwei davon in der IT-Abteilung.
Michael Netzband
Michael Netzband ist seit 2009 bei GISA und leitet im Unternehmen den Bereich Security Analytics and Response. Neben den Thema IT-Security macht die ITIL-Prozessberatung einen Schwerpunkt seiner täglichen Arbeit aus. Als ITIL v3 Expert und Auditor verfügt er über tiefgehende Kenntnisse von IT-Prozessen.
Diese Beiträge könnten Sie auch interessieren:
Die Zukunft im SAP Application Management Service unter „RISE with SAP“ aktiv gestalten
Mit großem Engagement begleiten wir unsere Kunden gerade auf dem Weg in die Welt des S/4HANA, die nicht nur zahlreiche neue, nützliche Funktionalitäten und Technologien mit sich bringt, sondern auch ein Neudenken von vielen Prozessen und Rollen im operativen Tagesgeschäft der Kunden bedeutet.
Zwei Schlüsselkomponenten der modernen Cyberabwehr: SOC und SIEM
Herausforderungen, Erfolgsfaktoren und Zukunft der unverzichtbaren Komponenten einer umfassenden Cyberabwehrstrategie.
Private vs. Public Edition: So wird Ihr Wechsel in die SAP S/4HANA Cloud zum Erfolg!
Für die Transformation auf S/4HANA setzen wir bei GISA auf ein einheitliches Vorgehensmodell: die SAP Activate Methode und einen zweiten Schlüssel zum Erfolg.
