ISO 27001 bringt die Betriebe dazu, seine eigenen Prozesse zu überdenken und zu strukturieren.
Security by Design kann ein guter Ansatz dafür sein, es wird von Beginn an der komplette Lebenszyklus betrachtet und beleuchtet.
Ein Audit und das Dokumentieren von jeglichen Gefahrenquellen, klingt vielleicht für viele Entscheider wie ein Versicherungsvertreter, der mit der Angst der Kunden spielt, aber wie die Vergangenheit zeigt uns, es ist besser zu haben als zu brauchen.
Hier ein Beispiel:
Ich habe für ein Unternehmen gearbeitet, der das verstanden und umgesetzt hatte, an mancher Stelle sagten mir Mitarbeiter das, dass System und deren Benutzung zu kompliziert ist, gemeint war Laptops mit BitLocker Verschlüsselung und erzwungenen VPN mit der 2. Faktor Authentifizierung.
Alle mobilen Geräte waren mit einem Mobile Device Management System gesteuert und das Gebäude war durch Schließsysteme für die Öffentlichkeit nicht zugänglich.
D.h. hab immer deinen Schlüssel am Mann. 😉 Aber! Alles war durchdacht und gut dokumentiert, wenn Auditoren oder Revisoren kamen, war nie Unruhe oder Stress für die Sicherheitsverantwortlichen. Alles hatte seinen Platz und war geklärt. (Jeder fühlte sich gut damit).
Hier ein anderes Beispiel:
Später habe ich bei einem Schwesterunternehmen gearbeitet, eigentlich könnte man meinen, dass ähnliche Gesetzmäßigkeiten für beide gelten würden, aber sie konnten nicht unterschiedlicher sein. Zitat: „Wir konzentrieren uns auf unsere Kernkompetenzen, wir sind kein IT-Unternehmen.„, das hieß dann für mich, nur verwalten und nicht präventiv agieren und keine unangenehmen Fragen stellen. Die Haus- und Hofdienstleister sagten mir „die letzten 10 Jahre hat ohne Sie auch alles funktioniert“ warum sollten die jetzt etwas ändern oder gar auf mich hören?
Ich bin mit dem Verständnis des Schwesterunternehmens an das Thema herangegangen und habe nicht gemerkt, dass Firmensicherheit, IT-Security, Information-Security, Security by Design, nur für mich wichtig ist, aber Unternehmen und dessen Dienstleiter damit überfordert waren. Man hatte mir gesagt, dass, das alles sehr viel Zeit brauche und die Menschen erst langsam an das Thema herangeführt werden müssen.
Nein! Wenn Themen offen liegen und einem ins Auge springen, werde ich immer wieder meinen Mund aufmachen und die Themen ansprechen. Und wenn man dadurch nicht der beste Freund von allen Beteiligten ist, dann ist das so, aber ich kann ruhig und tief schlafen.
Wollen wir mal die ganzen betroffenen Firmen, die allein dieses Jahr Opfer von Angriffen geworden sind, das so sagen?
„Ganz ruhig, wir können auch nächstes Jahr noch ein Awarenesstraining für die Kollegen machen, bis jetzt haben erst <10 auf die Links in den Phishing Mails geklickt und die Anhänge der vermeintlichen Bewerbungen geöffnet! Wir haben hier keinen Handlungsbedarf.“ Weiter geht die Ansage mit „Wir waren erst 2015 verschlüsselt, so oft passiert das nicht.“
Ich schlage handeln vor.
Ich schlage weiterhin vor, dass wir agieren, statt reagieren.
Fazit:
Eine ISO 27001 hilft allen Beteiligten, sich sehr genau damit zu beschäftigen, wie der Umgang mit Informationen und der Sicherheit der Firma aussehen könnte und schafft am aller deutlichsten bei der Geschäftsführung, Awareness.