Nicht erst seit der Verabschiedung des deutschen IT-Sicherheitsgesetzes ist "IT-Security" ein Thema, dem Unternehmen und Organisationen des Öffentlichen Dienstes zunehmend ihre Aufmerksamkeit widmen. Die enge Verflechtung von web-orientierten Infrastrukturen und Cloud-Diensten mit der IT von Unternehmen sorgt für zunehmende Angriffsflächen. Viele Angriffsvektoren hebeln den vermeintlich Schutz durch Firewalls aus und richten sich auch auf den Faktor Mensch.
Ein ganzheitlicher Ansatz aus fachlichen, technischen und organisatorischen Risikobetrachtungen, Mitarbeiter-Sensibilisierung/-Schulung sowie technischer Intrusion Prevention und Intrusion Detection tut not.
Gerade im Umfeld der IT-Sicherheit gilt:
Die größten Risiken sind die, die man noch nicht einmal erkannt hat.
Ein solides und nachhaltiges IT-Sicherheits-Management erschöpft sich aus diesem Grund nicht in technischen Maßnahmen. Als Fundament betrachte ich vielmehr eine hinreichende Risiko-Analyse für alle Assets und Werte eines Unternehmens, die potentiell einer Bedrohung ausgesetzt sind. Der strukturierte Aufbau eines IT-Sicherheits-Managements sollte auf einer IT-Risiko-Bewertung aufsetzen, die sich als Teil des Risiko-Managements eines Unternehmen versteht.
Eine ausschließliche Fokussierung auf Technik würde z.B. den Blick auf die Tatsache verschleiern, dass eines der größten Sicherheits-Risiken unzufriedene Mitarbeiter darstellen. Wirksame Sicherheitsvorkehrungen müssen vielmehr fachliche, organisatorische und technische Maßnahmen einbeziehen, eine hinreichende Schulung von Mitarbeitern vorsehen und auch Zulieferer berücksichtigen.
Ein Vorgehen gemäß der Norm ISO/IEC 27001 und zugehörigen Best Practices sorgt von vornherein für eine ausgewogene Schwerpunktsetzung beim Aufbau eines nachhaltigen Information- und IT-Security-Managements. Die technische Analyse und Definition technischer Maßnahmen bettet sich natürlich über eine Vielzahl von definierten "Controls" in den Prozess-Kanon des Sicherheits-Management-Systems ein.
Typische technische Elemente einer umfassenden Risiko-Analyse wie etwa Penetration- und Web Application Security Tests werden mit dem Ziel durchgeführt, die Ergebnisse auch im Verhältnis zu anderen Risiken richtig zu gewichten und zu bewerten.
Erwähnenswert ist auch, dass ein Security-Management gem. der ISO/IEC 27000 den Prozess-Bereich eines IT-Service-Managements gem. der ISO/IEC 20000 optimal und nahtlos abdeckt.
Meine personenbezogenen Zertifizierungen zur ISO 27000, ein tiefes Verständnis von IT-Systemen, Netzwerk-Infrastrukturen, SW- und Web-Architekturen, (Linux-) Server-Systemen, Virtualisierungshosts, (Linux-) Firewalls sowie Verschlüsselungsverfahren bilden den Hintergrund für eine fundierte und tatkräftige Unterstützung
Gerne auch, wenn sie zu bereits vorliegenden Ergebnissen eine unabhängige, neutrale "Second Opinion" benötigen.
Für den Mittelstand sei angemerkt, dass eine Auseinandersetzung mit der ISO 27000 auch unabhängig von einer Zertifizierung von Interesse sein kann und dass erforderliche formale Prozess- und Verfahrens-Dokumentationen durchaus knapp gehalten werden können. Für Organisation und öffentliche Institutionen, die vom IT-Sicherheitsgesetz betroffen sind, kann ein systematisches Hinarbeiten auf eine ISO 27000-Zertifizierung ein sinnvoller Weg sein, den Anforderungen gerecht zu werden.
Übrigens: Eine TÜV Foundation Zertifizierung zu Thema IT-Security (Security Analysis, Penentration-Testing, IT Forensic) und eine aktuelle Auseinandersetzung mit Penetrationtest-Tools ergänzen mein ISO 27000 Know-How ab und ermöglichen die Mitwirkung bei der Planung und Durchführung von praktischen Sicherheitstests.
© 2005-2017
Dr. R. Mönchmeyer,
Johannes-Haag-Str. 3, Augsburg • Tel.: +49 82150880450
Dr. R. Mönchmeyer,
Johannes-Haag-Str. 3, Augsburg.
Tel.: +49 82150880450
© 2005-2017, Dr. R. Mönchmeyer,
Johannes-Haag-Str. 3, Augsburg.
Tel.: +49 82150880450
Powered by anracom.com
Powered by anracom.com