Die Schutzziele der Informationssicherheit ist die Vertraulichkeit, Integrität und Verfügbarkeit für alle geschäftskritischen Ebenen einer Institution und wird technisch durch immer komplexere Sicherheitssysteme und Verteidigungsstrategien unterstützt.
Die Informationssicherheit aber ist nicht allein eine Frage der Technik.
Neben der Begleitung bei der Einführung eines Informationssicherheits-Management Systems (ISMS), ist auch die fortlaufende Sensibilisierung und Schulung der Mitarbeiter und Mitarbeiterinnen Teil des Arbeitsauftrags eines Informationssicherheitsbeauftragten.
Denn die Dimensionen vergrößern sich – insbesondere die der möglichen Angriffe auf die Schutzziele. Somit ist die Motivation zur Informationssicherheit ein immerwährender und meist zäher Prozess und das Engagement der Nutzer beschränkt sich meist auf diejenigen, die ohnehin sensibilisiert sind. Rein auf Freiwilligkeit und Eigeninteresse zu bauen, wird meist in einer ernüchternden Anzahl an aufgeklärten Nutzern enden.
Angesichts der wachsenden Anforderungen an die Position eines ISB und auch des Fachkräftemangels in diesem Bereich stellt sich die Frage, ob die Position intern oder extern besetzt werden soll. Ein immerwährender Prozess schreit doch nach jemanden, der mit bereits gelebten Prozessen und innerbetriebliche Bestimmungen vertraut ist. Zudem kommt der Druck, dass immer mehr Unternehmen ein ISMS nach ISO 27001 nachweisen müssen. Die Einführung oder Programmierung einer Software ist viel zu häufig der erste Schritt. Drum herum werden dann Geschäftsprozesse definiert, die „die IT“ dann am Ende schnellstmöglich und am besten kostenfrei „sicher machen“ soll.
Das bedeutet zusätzliche Arbeit – meistens also für die IT-Abteilung, dessen Personalressourcen bereits bei der technischen Umsetzung und Instandhaltung ausgereizt werden.
Unbeachtet bleibt auch die Erkenntnis, dass in vielen operativen IT-Abteilungen ebenfalls noch viel Awareness-Training zu leisten ist oder schlichtweg das Know-how fehlt. Manchmal entstehen auch Interessenskonflikte, die den Erfolg eines ISMS gefährden könnte. Vor diesem Hintergrund ist die Entscheidung eines externen ISB nicht abwegig.
Eine Risikoanalyse, die die individuellen Risiken einer Organisation beleuchtet sowie fundiertes Expertenwissen, die auch Compliance-Anforderungen berücksichtigt, geben Aufschluss über die Effektivität des Systems und bieten Chancen zur Aufdeckung gewisser Schlupflöcher, die durch eventueller „Betriebsblindheit“ vielleicht übersehen werden.
Gerne unterstützen wir Sie dabei. Jetzt Kontakt aufnehmen!
Erfahren Sie auch mehr zu unseren Leistungen im Bereich IT-Sicherheit und IT-Management.