Beim Thema IT und Sicherheit besitzen nicht wenige Unternehmen einen Tunnelblick. Dieser Blick fokussiert sich ausschließlich auf das Thema Technik. Geschäftsführung und CIOs sind überzeugt: Wenn unsere IT-Landschaft technisch auf einem aktuellen Stand ist und unser IT-System ein sinnvolles IT-Security-Niveau aufweist, ist alles in Ordnung.

Tatsächlich lässt man in dieser Gleichung einen wichtigen Aspekt außer Acht. Ein hohes technisches Sicherheitsniveau ist zwar Pflicht für jedes Unternehmen. Doch zur IT-Sicherheit gehört etwas, das man auch den Blind Spot der IT-Security nennen könnte: das sicherheitsrelevante Verhalten von Mitarbeitenden und die komplexen organisatorischen Prozesse, die von IT gestützt werden. Hier greift eine organisatorische Schwachstellenanalyse.

Wie gut ist Ihre derzeitige organisatorische Sicherheit?

Fragen Sie sich selbst: Führen Sie ein schriftlich festgehaltenes Regelwerk, in dem Sie den Mitarbeitenden aller Abteilungen vorgeben, wie sie sich im Umgang mit Browser, Clients, Servern, E-Mails und Anhängen, USB-Sticks, dem Hardware-Arbeitsplatz oder der An- und Abmeldung in Ihrem IT-System zu verhalten haben? Und wenn ja: Sind diese Vorgaben eindeutig, umfassend genug, verständlich und werden sie regelmäßig überprüft?

Wenn Sie nicht mit einem schnellen und klaren „Ja!“ antworten können, dann besitzt auch Ihr Unternehmen diesen Blind Spot – und über kurz oder lang wird er zu einem akuten Sicherheits-Vorfall werden.

Klarer Blick in einem komplexen Bereich

Natürlich, die Prozesse in einem Unternehmen sind von Natur aus komplex, und der Einblick, wo es hier Schwachstellen geben könnte, ist schwierig. Doch mit dem richtigen Vorgehen und den richtigen Werkzeugen gelingt es, einen deutlich klareren Blick auf die Situation zu erhalten und entsprechend geeignete Maßnahmen zu entwickeln. GISA kann hier unterstützen: Mit einem Service, der die typischen Schwachstellen in einer Organisation beleuchtet und dabei auch in Nischen und detaillierten Stolperfallen aufdeckt.

Bei der organisatorischen Schwachstellenanalyse schauen die Expertinnen und Experten von GISA externe Rahmenbedingungen und Dokumente genau an, die das Management, die Arbeit mit der IT und die Speicherung von Daten betreffen. Dazu zählen Aspekte, die jeder IT-Abteilung ein Begriff sein dürften: das Informationssicherheits-Managementsystem ISMS, der Datenschutz, die Informationssicherheit sowie die physische und umgebungsbezogene Sicherheit.

Ein machbarer Maßnahmenplan für die Praxis

Liegen die Ergebnisse in Form eines Ergebnisberichts vor, entwickeln die Sicherheitsexpertinnen und -experten von GISA konkrete Maßnahmenvorschläge, um die Schwachstellen besser in den Griff zu bekommen. Von der Definition sicherer Abläufe über die richtige Reaktion bei Angriffen bis zur klaren Rollenverteilung, wer im Normal- und Ernstfall für welche Sicherheitsroutine verantwortlich ist. Auch eine stichfeste Prozess- und Sicherheitsdokumentation ist häufig Teil eines sinnvollen Maßnahmenpakets genauso wie die Änderung von Serviceverträgen, um beispielsweise eine 24-Stunden-Verfügbarkeit zu etablieren.

Mit internen Ressourcen sind solche Analysen und die Entwicklung sinnvoller Maßnahmen häufig kaum machbar. Die eigene IT-Abteilung ist zu stark in das Tagesgeschäft eingebunden, so dass sie diesen Bereich weniger im Blick hat. Oder eine Firma ist so schnell gewachsen, dass sie ihre organisatorischen Prozesse aus Sicherheitssicht nicht nachziehen konnte. Startups sind dafür klassische Beispiele, aber auch mittelständische Unternehmen, bei denen zwar 350 Angestellte arbeiten, aber nur zwei davon in der IT-Abteilung.

Sie überlegen, ob eine professionelle organisatorische Schwachstellenanalyse auch für Ihr Unternehmen infrage kommt? Erfahren Sie es hier!

Michael Netzband

Michael Netzband ist seit 2009 bei GISA und leitet im Unternehmen den Bereich Security Analytics and Response. Neben den Thema IT-Security macht die ITIL-Prozessberatung einen Schwerpunkt seiner täglichen Arbeit aus. Als ITIL v3 Expert und Auditor verfügt er über tiefgehende Kenntnisse von IT-Prozessen.