Christopher Morris, Security-Experte beim Beratungshaus Materna
Informationssicherheit avanciert für Unternehmen aller Branchen zum Garanten ihrer Existenz. Nur wenn sie umfänglich herausgebildet wird, können sich Unternehmen angesichts ihrer Öffnung gegenüber dem Internet hinreichend schützen.
Wären da nicht der Mangel an Sicherheitsspezialisten und die hohen Kosten zur Umsetzung der notwendigen Informationssicherheit, die besonders mittelständische Unternehmen und Organisationen trifft. Unterstützung naht in Form von ISIS12, ein vom Netzwerk Informationssicherheit für den Mittelstand des Bayerischen IT-Sicherheitsclusters entwickeltes Verfahren zur Einführung eines Informationssicherheits-Management-Systems. »manage it« hat sich mit Christopher Morris, Security-Experte beim Beratungshaus Materna, unterhalten, inwieweit ISIS12 bei der Errichtung eines integrierten IT-Service- und Informationssicherheits-Management-System unterstützt.
Was macht den Charme von ISIS12 für Unternehmen und Organisationen aus?
Das Vorgehensmodell ist auf Unternehmen zugeschnitten, die innerhalb ihrer IT-Abteilung nicht auf die Ressourcen zurückgreifen können, um alle erforderlichen sicherheitsrelevanten Aufgaben zu bewältigen. ISIS12 bildet einen Ausschnitt des vom BSI entwickelten Standardverfahrens zum IT-Grundschutz. Wie der BSI-Grundschutz ist auch ISIS12 als weniger komplexes Vorgehensmodell in die Informationssicherheits-Management-Prozesse integrierbar. Dazu enthält dieses Vorgehensmodell klar formulierte Anweisungen zum IT-Service-Management und zur Dokumentation von Informationssicherheits-Management-Prozessen. Vor allem mittelständischen Unternehmen und Organisationen fällt es dadurch deutlich einfacher, das notwendige Maß an Datenschutz und Verfügbarkeit einzuplanen und umzusetzen.
Inwieweit erleichtert ISIS12 die Koordination des Projekts »mehr Informationssicherheit und -verfügbarkeit«?
Das Vorgehensmodell führt softwaregestützt durch das Projekt und zeigt Schritt für Schritt auf, wann welche Planungs- und Umsetzungsaufgaben anstehen. Auch flankierende Maßnahmen wie die Erfassung von Anlagegütern (Assets), die Darstellung von Abhängigkeiten zwischen IT-Zielobjekten und kritischen Anwendungen sowie die Ermittlung des Sicherheitsbedarfs werden softwaregeführt vereinfacht. Mit Blick auf kritische Anwendungen können so Schutzbedarfskategorien hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit zugeordnet, maximal tolerierbare Ausfallzeiten bestimmt und bedarfsorientiert SLAs (Service Level Agreements) festgelegt werden. Später im Verlauf des Projekts können die IT-Zielobjekte per Mausklick mit den Maßnahmen des ISIS12-Maßnahmenkatalogs verknüpft werden.
Wie sollte der Start dieses Projekts aussehen?
Am Anfang sollte ein Assessment stehen, um darüber den aktuellen Sicherheitsreifegrad des Unternehmens respektive der Organisation zu ermitteln. Was dazu als Gradmesser nicht fehlen darf, ist die Festlegung einer Informationssicherheitsstrategie, die sich am konkreten Datenschutz- und Verfügbarkeitsbedarf orientiert. Natürlich dürfen ebenso wenig fehlen eine ausführliche Dokumentation der Informationssicherheitsstrategie und des konkreten Bedarfs an Technologien und Maßnahmen. Dabei geht es in Zeiten des Internet nicht nur um eine Analyse, Bewertung und Dokumentation des internen Sicherheitsreifegrads. In Zeiten des Internet müssen auch die Abhängigkeiten von Geschäftspartnern und Cloud-Providern analysiert, bewertet und dokumentiert werden.
Das hört sich nach einer eingehenden Analyse an – oder?
Ja, die meisten mittelständischen Unternehmen und Organisationen werden dazu auf kompetente externe Unterstützung zurückgreifen müssen. Diese Unterstützung ist schon deshalb wichtig, weil sie entscheidend für eine angemessene Ausrichtung des Informationssicherheits-Management-Systems und die Bestimmung notwendiger flankierender Maßnahmen, sowohl intern als auch extern, ist. Zu den vorbereitenden Maßnahmen gehören auch die Sensibilisierung der Mitarbeiter, die Festlegung der zum anvisierten Informationssicherheits-Management-System passenden IT-Aufbau- und Ablauforganisation und die Herausbildung eines für den Betrieb zuständigen Informationssicherheitsteams beziehungsweise eines ISIS12-Sicherheitsbeauftragten.
Sie hatten zuvor die Dokumentation der Informationsmanagementstrategie, des konkreten Bedarfs an Technologien und Maßnahmen sowie der Informationssicherheits-Management-Prozesse angesprochen. Ruft diese umfangreiche Dokumentation für einen koordinierten und stets nachprüfbaren Projektverlauf nicht förmlich nach einer klaren IT-Dokumentationsstruktur?
Zweifellos. Zumal diese strukturierte IT-Dokumentation Rahmendokumente, das Betriebshandbuch und das Notfallhandbuch umfasst, somit die Qualität und Weiterentwicklung des mit ISIS12 konzipierten und etablierten Informationssicherheits-Management-Systems entscheidend mitprägt. Außerdem sind die Struktur und Ausführlichkeit der Dokumentation für die Qualität der IT-Service-Management-Prozesse, genauer gesagt für deren Implementierung, Änderung und Wartung beziehungsweise für eine gezielte Störungsbeseitigung, bestimmend.
Die Losung für mittelständische Firmen und Organisationen kann nur lauten: die dringendsten Umsetzungen und Maßnahmen zuerst, schon um die Kosten dafür so gering wie möglich zu halten. Werden nicht dennoch im Rahmen des ISIS12-Projekts Aufgaben und Maßnahmen verbleiben, die ebenso geplant und umgesetzt werden müssen?
Ein Ist-Soll-Vergleich fördert die noch nicht umgesetzten Aufgaben und Maßnahmen zutage und stellt sie in Bezug zu den damit verbundenen Kosten. Unternehmen und Organisationen können somit Sicherheitszugewinn und Kosten im Einzelnen gegenüberstellen, die Planung und Umsetzung der Aktionen, bei denen das Verhältnis stimmt, entsprechend priorisieren. Umgekehrt können sie weniger lohnende Aktionen gezielt ausschließen, damit das Informationssicherheits-Management insgesamt überschaubar ist und bleibt und keine zu hohen Kosten verursacht. Für all dies ist ebenfalls das Vorgehensmodell ISIS12 der Türöffner. Einmal errichtet, steuert ISIS12 Zyklen bei, um den Informationssicherheits-Management-Auftritt im Rahmen von Revisionen stetig zu optimieren. Außerdem kann sich das Unternehmen beziehungsweise die Organisation mit Abschluss des Projekts von der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS) nach ISIS12 zertifizieren lassen.
Wie wichtig ist diese Zertifizierung?
Das Zertifikat bestätigt mit einer Gültigkeit von drei Jahren das erreichte Informationssicherheitsniveau. Dazu werden innerhalb von drei Jahren zwei Überwachungsaudits, beispielsweise von Materna, durchgeführt. Im Verlauf des dritten Jahres kann durch eine Re-Zertifizierung das Zertifikat wiederum für drei Jahre neu erteilt werden.
Ist ISIS12 als Vorgehensmodell und Zertifizierungsgrundlage auch für größere Unternehmen geeignet?
Auf jeden Fall, und zwar als Einstiegsmodell in mehr Informationssicherheit und als Zertifizierungsvorstufe für mehr: einer Zertifizierung nach dem BSI-Grundschutz oder ISO 27001. So begrüßt das BSI ausdrücklich den Standard des Bayerischen IT-Sicherheitsclusters zur Förderung der IT-Sicherheit und unterstreicht, dass ISIS12 langfristig die Anwendung des IT-Grundschutzes fördern wird.
Das Interview führte Hadi Stiel,
freier Journalist, Kommunikationsberater
und geprüfter IT-Sachverständiger
in Bad Camberg.
Titelbild: © Materna
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
SSL-Zertifikate: Wert des Sicherheitskennzeichens hängt vom Vertrauen in Zertifizierer ab
Top IT Skills: Sicherheitsexperten sind am stärksten gefragt
Deine, Meine, Unsere – Passende IT-Sicherheitslösungen auf den Leib geschneidert