5 gute Ratschläge an alleinverantwortliche für Informationssicherheit

Allein auf weiter Flur. Alle, die allein für die Informationssicherheit verantwortlich sind, kennen dieses Gefühl vermutlich. Die Anforderungen an das Compliance-Programm nehmen ständig zu, es werden aber keine zusätzlichen Ressourcen für den höheren Arbeitsaufwand bereitgestellt. Der Geschäftsführer von NorthGRC möchte alleinverantwortlichen Beauftragten für Informationssicherheit 5 gute Ratschläge geben, die die Effizienz erhöhen und der Geschäftsleitung ein größeres Verständnis für Informationssicherheit vermitteln. 

Immer höhere Anforderungen an die Informationssicherheit. Immer weniger Ressourcen, um die Anforderungen umzusetzen.

So sieht die Realität in vielen kleineren und mittelständischen Unternehmen aus. Interne und externe Stakeholder erwarten jederzeit die volle Kontrolle über das Compliance-Programm, ohne die Einzelheiten oder den Umfang dieser Aufgabe zu berücksichtigen. Die Erwartungen – und die ständig zunehmende Arbeitslast – führen jedoch selten zur Einstellung weiterer Mitarbeiter.

Der Eindruck, ganz allein auf weiter Flur zu sein, stellt sich somit nahezu unwillkürlich ein. Alleinverantwortliche Beauftragte für Informationssicherheit berichten von dem Gefühl, mehr Aufgaben zu erhalten, als sie zeitlich bewältigen können. Dieser Umstand sorgt nicht nur für Frust, für das Unternehmen entsteht auch ein größeres Risiko, wenn der Mitarbeiter oder die Mitarbeiterin, der/die für diesen Bereich verantwortlich ist, keinen vollständigen Überblick hat.

Den Teufelskreis durchbrechen

Jakob Holm Hansen ist Geschäftsführer von NorthGRC. Er weiß genau, wie viel Arbeit die alleinverantwortlichen Beauftragten für Informationssicherheit in das Compliance-Programm des Unternehmens stecken. Dieser Einsatz wird jedoch selten gewürdigt, weil es schwierig ist, die Ergebnisse sichtbar zu machen.

„Wenn die Sicherheitsbeauftragten keinen Überblick über das Compliance-Programm haben, können sie der Unternehmensleitung gegenüber nicht zeigen, wo beispielsweise zusätzliche Maßnahmen erforderlich sind. Umgekehrt fällt es der Unternehmensleitung schwer, dem Compliance-Programm weitere Ressourcen zuzuweisen, wenn für sie nicht ersichtlich ist, wozu genau weitere Mittel bewilligt werden sollen. Das wird schnell zu einem Teufelskreis“, erklärt Jakob Holm Hansen.

Er bietet 5 gute Ratschläge, die nicht nur die Arbeitsbedingungen für die Sicherheitsbeauftragten verbessern, sondern auch die Informationssicherheit im Unternehmen erhöhen.

1. Struktur schaffen
   Struktur führt zu mehr Effizienz. Dies gilt für viele Fachbereiche und insbesondere für die Informationssicherheit. Alleinverantwortliche für Informationssicherheit können ihre Effizienz beträchtlich steigern, indem sie ein Compliance-Programm einhalten und die Aufgaben nach einer festgelegten Rangfolge erledigen.
   
   
2. Aufgaben verstärkt delegieren
   Es kommt nicht selten vor, dass es in einem Unternehmen nur einen Beauftragten für Informationssicherheit gibt. Das heißt aber nicht, dass der Sicherheitsbeauftragte alle Aufgaben allein erledigen muss. Der Vorteil daran, Aufgaben an die Kollegen zu delegieren, besteht darin, dass der Sicherheitsbeauftragte den Überblick behält und dass die Informationssicherheit stärker verankert wird, wenn mehrere Teile des Unternehmens direkt in das Compliance-Programm einbezogen werden
   
   
3. .Arbeitsabläufe automatisieren
   Die Informationssicherheit ist ein Bereich mit vielen Aufgaben, die sich ständig wiederholen. Sie müssen in bestimmten Abständen über die 12 Monate des Jahresverlaufs verteilt werden. Viele der Arbeitsabläufe können durch das System optimal unterstützt und automatisiert werden. So geraten wichtige Aufgaben nicht in Vergessenheit. Darüber hinaus müssen keine geistigen Ressourcen für den Aufbau manueller Erinnerungsroutinen aufgewendet werden, außerdem wird die Durchführung der Tätigkeiten wesentlich besser dokumentiert.
   
   
4. Bedarf und Fortschritt visualisieren
   Wenn wir komplexe Zusammenhänge nicht nur mit Worten oder Rohdaten darstellen, sondern die Komplexität auch visualisieren können, können wir Informationen wesentlich besser aufnehmen. Auf diese Weise lässt sich ein größeres Verständnis schaffen. Es wird einfacher, weitere Ressourcen für das Compliance-Programm zu erhalten, wenn der Fortschritt durch Grafiken oder Diagramme sichtbar gemacht und der erwartete Ressourcenverbrauch oder der voraussichtliche Zeitplan dargestellt werden kann.
   
   
5. Die Geschäftsleitung einbeziehen
   Wenn Sicherheitsbeauftragte mit der Geschäftsleitung über die Informationssicherheit im Unternehmen sprechen, kommt es nicht selten zu Verständnisproblemen. Sicherheitsbeauftragte denken häufig in technischen Begriffen, während die Unternehmensleitung wirtschaftliche Begriffe verwendet. Mit den passenden Werkzeugen für die Berichterstattung kann der Beauftragte für Informationssicherheit diese Kluft überbrücken. Hierdurch kann er selbst bessere Voraussetzungen schaffen, um die erforderliche Unterstützung für das Compliance-Programm zu erhalten.

So bauen Sie ein Jahresrad für das Compliance-Programm auf!

Wir empfehlen, die Compliance-Funktionen in ein Jahresrad einzupflegen. Das Jahresrad gibt Ihnen den vollen Überblick über die einzelnen Tätigkeiten und erleichtert u. a. die Dokumentation des Ressourcenbedarfs.

Wir haben für Sie einen Leitfaden erstellt, der in fünf einfachen Schritten erklärt wie man ein Jahresrad aufbaut.