Eine der wichtigsten Aufgaben des Chief Information Security Officer (CISO/ISB) ist es, proaktiv einen Plan für die Informationssicherheit zu erstellen und ihn im gesamten Unternehmen zu kommunizieren. Hier ist ein Plan für Ihr Vorgehen.
Es ist noch nicht sehr lange her, dass die Experten für Informationssicherheit um die Aufmerksamkeit des Managements kämpfen mussten. Es war eine tägliche Anstrengung, das Management davon zu überzeugen, dass der Umgang mit Informationssicherheit für das Unternehmen brisant ist und dass es sich dafür interessieren muss. Oft mussten wir Schauergeschichten erzählen und wurden beschuldigt Flächenbrand zu betreiben.
Zum Glück hat sich das geändert. Teilweise aufgrund hochkarätiger Informationssicherheitsvorfälle, die sich auf die Unternehmensergebnisse ausgewirkt haben, aber auch aufgrund der DSGVO und dem damit verbundenen Bewusstsein für Compliance.
Jetzt haben wir zwar die Aufmerksamkeit und die Mittel, um diese Informationen zu verbreiten. Aber haben wir damit unser Ziel erreicht?
Nicht ganz. Zuerst müssen wir sicherstellen, dass wir das, was wir erreicht haben, sinnvoll nutzen, denn das Bewusstsein für Informationssicherheit kann uns tatsächlich vor neue Herausforderungen stellen. Auf einmal müssen wir Zeit mit Panikreaktionen von jemandem aus dem Management verbringen, weil er auf einem Flug von Amsterdam über Ransomware gelesen hat. Oder weil jemand aus der Personalabteilung, an einem DSGVO-Kurs teilgenommen hat und jetzt eine Richtlinie für Löschfristen wünscht. Und plötzlich setzen wir unsere ganze Zeit dafür ein, Fragen zu beantworten, warum wir uns entschieden haben, die Eine oder Andere Bedrohung so anzugehen, wie wir es getan haben.
Wir laufen Gefahr, hin und her gezogen zu werden ohne Einfluss auf die Richtung oder die Strategie der Informationssicherheit und Compliance zu haben.
Wir müssen daher in die Situation kommen, in der wir festlegen, wie wir über Informationssicherheit und Compliance kommunizieren und informieren.
Falls sich das Management oder die Personalabteilung hinsichtlich des Vorgehens nicht ausreichend informiert oder in Kenntnis gesetzt fühlt, werden sie uns brauchen, um die richtigen Antworten zu bekommen. Unsere Aufgabe ist es also, zu kommunizieren und sicherzustellen, dass Bedrohungen behandelt werden und dass es eine Vorgehensweise für Informationssicherheit und Compliance gibt. Und natürlich müssen wir hinsichtlich unseres Handelns sicher sein, dass wir wissen, was wir tun.
Um dafür die Voraussetzungen festlegen zu können, müssen wir bestimmte Dinge umsetzen.
Wir müssen:
Diese 3 Grundlagen werden uns helfen, die Gegebenheiten zu schaffen, um die Unterstützung und das Verständnis zu erhalten, das wir vom Management benötigen. Wir können die notwendige Akzeptanz bekommen, indem wir uns ausschließlich darauf konzentrieren, an dem zu arbeiten, was für unsere Organisation wichtig ist, und indem wir uns immer voll bewusst sind, wo wir stehen und wo wir hin wollen.
Wenn wir wissen, wo wir stehen und wo wir hin wollen, können wir beginnen, unsere Kommunikation entsprechend zu strukturieren.
Es wird empfohlen, damit zu beginnen, dem Management mit einer allgemeinen Präsentation über Informationssicherheit die erarbeitete Vorgehensweise zu präsentieren.
Ihre Präsentation könnte folgendes umfassen:
Sobald wir unseren Compliance-Plan vorgelegt haben, sollte klar sein, dass wir seinen Inhalt und seine Fortschritte regelmäßig verfolgen.
Als Teil des Plans sollten Sie daran denken, regelmäßige Besprechungen mit Ihrem Management durchzuführen, um sie auf dem Laufenden zu halten und den weiteren Fokus sicherzustellen.
Bei solchen Treffen müssen Sie sich zu 100 % sicher sein, welche Fortschritte Sie seit der letzten Sitzung gemacht haben und welche Sie in Bezug auf die Ergebnisse zur nächsten Sitzung erreichen wollen. Hierzu können auch Kriterien ermittelt werden, bevor mit der Planung von Notfallübungen begonnen wird. Zum Beispiel: Das Management sollte sich daran erinnern, den Business Continuity-Plan zu genehmigen, bevor mit der Umsetzung begonnen werden kann.
Mit dem neu entdeckten Bewusstsein und den erschaffenen Voraussetzungen wird es häufig einfacher sein, alle Fragen des Managements zu beantworten. Viele Fragen werden sicherlich schon durch unseren proaktiven Ansatz beantwortet sein. Andere Fragen werden wir entweder beantworten können, indem wir uns auf unseren Plan beziehen oder die Ergebnisse bzw. Initiativen, die wir umgesetzt haben, präsentieren.
Also, falls jemand aus dem Management fragt: "Was passiert, wenn wir von Ransomware getroffen werden?" Wird logischerweise die Antwort sein, dass, falls es eine Bedrohung sein sollte, der wir im Mai begegnen werden, werden wir - so der Plan - unsere Risikobehandlung umsetzen. Und wenn die Geschäftsführung beschließt, dass wir bereits vor Mai handeln müssen, können wir natürlich in unserem Plan umplanen, aber das wird folglich bedeuten, dass etwas anderes verschoben werden muss.
Nun befinden wir uns in einer Situation, in der wir wissen, wo wir stehen und wo wir hin wollen. Das weiß jetzt auch unser Management. Wir sind in einer viel besseren Position, um Informationssicherheit und Compliance in unserer Organisation umzusetzen und zu behandeln.
Wir haben die Kontrolle übernommen, anstatt hin und her gezogen zu werden.