Security-Strategien
Sicherheit ist Sache der Vorstandsetage
Security-Strategien
Die Feinde der IT-Sicherheit profitieren von der Tatsache, dass die meisten Firmen nicht den politischen Willen haben, klare Richtlinien auf oberster Ebene durchzusetzen oder überhaupt gute Verfahrensweisen und Prozesse für das Sicherheitsmanagement einzuführen. Das Ergebnis ist, dass außer den größten Unternehmen und den größeren Regierungsbehörden alle anderen ein Flickwerk an Verfahrensweisen haben, die weder miteinander verbunden sind noch regelmäßig überprüft werden.
In der Praxis: Kurzsichtigkeit
Ein scharfsichtiger Wiederverkäufer von Sicherheitseinrichtungen
hat mir kürzlich Folgendes erzählt: “Wenn Sie wollen, dass eine Firma Geld für die Aufrüstung ihrer Sicherheitseinrichtungen ausgibt, dann zeige man ihr einen Krisenherd auf und demonstriere ihr, wie gut die entsprechenden Sicherheitseinrichtungen angewendet werden können.
Die Firma sieht sehr schnell den Nutzen und dann geht es darum, die Angelegenheit ins Rollen zu bringen.
Eine andere Methode ist, folgende einfache Fragen zu stellen:
Wie leicht ist es für einen Mitarbeiter, sensible Informationen per Firmen-Email zu verschicken? Wie gut sichert die Firma ab, dass die Geräte der Telearbeiter mit den aktuellsten Antivirus Tools und Firewalls ausgestattet sind? Und wie leicht ist es für jemanden, sensible Daten auf einen USB Speicherstick oder einen Apple iPod runterzuladen?
Es ist natürlich klar, dass Risiken nicht vollständig eliminiert werden können, aber deutlich kommunizierte Strategien, die auch anwendbar sind, können viel dazu beitragen, diese Gefahren zu minimieren. Wie also sollten die Firmen vorgehen, um ihre Mitarbeiter entsprechend zu schulen?
E-Learning ist vielleicht nicht das Patentrezept, aber Software wie
PolicyMatters von Extend, wobei die Mitarbeiter gezwungen werden, in regelmäßigen Abständen einen Frage-Antwort Test durchzuführen, ist wahrscheinlich ein Schritt vorwärts.
Harte Massnahmen erforderlich
Mitarbeiter aus dem Netzwerk auszusperren, wenn sie den Test nicht bestehen, ist wahrscheinlich eine sehr gute Methode, die Aufmerksamkeit auch der gleichgültigsten Mitarbeiter zu wecken.
Die Firmen müssen die Mitarbeiter aber auch vor Leuten schützen, die bösartige oder beleidigende Emails schicken, wenn teure und peinliche Klagen wegen Belästigung vermieden werden sollen.
Es gibt jedoch kein Allheilmittel. Die Anbieter von Sicherheitseinrichtungen für Emails müssen zwischen dem Wunsch, bösartige Emails abzublocken und der Gefahr, dass Emails zurückgewiesen werden, die eigentlich durchkommen soll, abwägen.
Es gibt jedoch Richtlinien, die den Firmen helfen können, besser zurecht zu kommen und die Strategien in Bezug auf die Sicherheit zu verbessern. So kann beispielsweise der Britische Standard für das Management der Informationssicherheit BS7799 hinsichtlich der Vorgehensweise als Basis für eine kohäsive Sicherheitspolitik genommen werden.
Letztendlich sollen die Regelements in Sachen Sicherheit ein Unternehmen stärken und helfen, es bei einem Angriff zusammenzuhalten. Aber wenn es um den Schutz der IT-Systeme geht, schwächt häufig eine mangelnde Führung von oben das ganze Unternehmen.
Höchste Zeit für Sicherheit
Jetzt, nach den Diebstählen von Kundendaten bei HSBC und LexisNexis in den USA, wo bis zu einer halben Million Kundenprofile gestohlen worden sind, ist es für die IT-Manager vielleicht etwas einfacher geworden, Rückhalt beim Vorstand zu bekommen, wenn es um die Prüfung und Straffung der Regelungen im Sicherheitsbereich geht. Die Schlagzeilen, die diese Ereignisse gemacht haben, sollten mithelfen, dass entsprechende Maßnahmen ergriffen werden, denn sie zeigen klar die Gefahren auf, die von schwachen Sicherheitssystemen ausgehen und sind dazu noch eine schlechte Reklame.