InfoGuard Cyber Security & Cyber Defence Blog

Was eine gute Cyber Security-Strategie wirklich auszeichnet

Geschrieben von Reinhold Zurfluh | 06. Jan 2017

Die Grundlagen für Ihre Cyber Security Strategie haben Sie in Teil 1 unseres Ratgebers bereits geschaffen. Im zweiten Teil geht es nun um die Umsetzung. Konkret heisst das für Sie: Welche Ziele müssen Sie sich setzen? Was macht eine effektive Cyber Security Strategie aus? Und warum lohnt es sich, das betriebseigene Informationssicherheits-Management-System (ISMS) zu zertifizieren? Das und vieles mehr erfahren Sie hier und jetzt in unserem zweiten Teil vom Cyber Security Ratgeber.

«Hacker-Angriffe auf unser Unternehmen? Ach was! Wir sind zu wenig interessant, das lohnt sich bei uns gar nicht.» Sätze wie diese hören wir immer wieder. Doch diese Interpretation ist falsch. Sehr oft zielen Hacker-Angriffe nämlich genau auf kleinere, unter 1'000 Mitarbeitende beschäftigende Unternehmen ab. Wissen Sie warum? Weil diese Unternehmen genau diejenigen sind, die (noch) zu wenig sensibel im Umgang mit der Informationssicherheit sind. Das wiederum erhöht für Hacker die Angriffsmöglichkeiten. Ausserdem sind ungeschützte Systeme der perfekte Fang für Hacker: Sie werden nämlich ganz einfach so manipuliert, das sie zusammen mit anderen Unternehmen zu Elementen eines riesigen Schwarms von Systemen werden. Zusammen können diese dann einen bedeutenden, verteilten Angriff ausführen.

Diese 4 Punkte machen eine gute Cyber Security Strategie aus

Genau deshalb ist es für Sie als Unternehmen zentral, Ihre Informationen zu schützen und sich Cyber Security Ziele zu setzen. Sie fragen sich nun vielleicht, wie das gehen soll? Wir helfen Ihnen auf die Sprünge. Eine sauber erstellte Cyber Security Strategie beinhaltet zwingend folgende vier Elemente:

 

  • Setzen Sie sich Ziele und Prioritäten
  • Definieren Sie mögliche Bedrohungsszenarien
  • Bestimmen Sie potenzielle Schäden
  • Legen Sie Handlungsoptionen fest und vergleichen Sie diese

Jetzt geht's ans Eingemachte: So setzen Sie Cyber Security um

Die Ziele sind gesetzt, beginnen wir nun mit der konkreten Umsetzung. Ein Informationssicherheits-Management-System (ISMS) bildet den Rahmen, um die Informationssicherheit in Ihrem Unternehmen zu gewährleisten. Selbstverständlich gibt es verschiedene Normen, doch wir empfehlen allen voran der ISO/IEC 27001-Standard oder das NIST Cyber Security Framework (CSF). Es gibt verschiedene Gründe, welche für eine Zertifizierung Ihres betriebseigenen ISMS sprechen.  Doch diese Elemente sind in allen Frameworks typischerweise enthalten:

 

  • Sicherheit durch Systematik, anstelle von Security-by-Obscurity
  • Aufbau und Dokumentation der Sicherheitsarchitektur und Definition von Richtlinien und Vorgaben ISMS abgestimmte Massnahmen und regelmässige Überprüfung und Optimierung der Sicherheit, inkl. Datenschutz-Management
  • Etablierung eines ganzheitlichen Risikomanagements und Risikomanagement-Prozesses analog der Formel GCR: Governance – Risk –Compliance
  • Umsetzung des Need-to-Know Prinzips
  • Aufbau eines SLA-Management anhand der Vorgaben aus dem Betrieb
  • Definition eines Notfallmanagements und entsprechender Wiederanlaufprozeduren
  • Gezielte Sensibilisierung und Schulung der Mitarbeitenden hinsichtlich Risiken und korrekter Verhaltensweisen im Alltag

Haben Sie sich erst einmal für ein Framework entschieden, so steht der erfolgreichen Umsetzung nichts mehr im Wege.

Informationssicherheit im Unternehmen implementieren

Ein Rat vorne weg: Ziehen Sie die Geschäftsleitung bzw. das Management aktiv in Ihre Planungen betreffend Zertifizierung mit ein. Denn unsere Erfahrung zeigt, dass sich ein Managementsystem für die Informationssicherheit nur dann auszahlt, wenn alle im Unternehmen dieses befürworten. Weiter ist es ganz wichtig, Schritt für Schritt folgende Gedanken durchzuspielen und Massnahmen abzuleiten:

  1. Was für Sicherheitsmassnahmen bestehen bereits? Um Ressourcen und Kosten zu minimieren raten wir Ihnen, auf diesen bereits existierenden Ressourcen aufzubauen und mit diesen weiterzuarbeiten. So können Sie den Implementierungsaufwand begrenzen.

  2. Richtlinien ausarbeiten: Die Sicherheitsrichtlinien stellen eine führende Funktion für die gesamten Security-Massnahmen dar. Genau deshalb ist es zentral, diese Richtlinien praktikabel, präzise und einfach verständlich zu formulieren. Ganz nach dem Motto: «Think big, do small».

  3. Berücksichtigen Sie das organisatorische Profil Ihres eigenen, individuellen Unternehmens.

  4. Leben Sie das ISMS! Das ISMS soll und muss ein wesentlicher Bestandteil der Unternehmensorganisation werden – nicht nur auf dem Papier, sondern in den Köpfen aller Mitarbeitenden.

Eine Zertifizierung bringt viele Vorteile

Sie trauen der ganzen Sache noch nicht? Gerne sind wir behilflich - und zeigen Ihnen auf, welche Vorteile eine Zertifizierung für Sie bzw. Ihr Unternehmen mit sich bringen kann:

 

  • Sicherstellung gesetzlicher und vertraglicher Anforderungen
  • Angemessenes und dauerhaftes Gewährleisten an Verfügbarkeit, Vertraulichkeit und Integrität von Informationen
  • Bewusster Umgang mit Risiken und Reduktion des Risikopotenzials
  • u.v.m.

Den kostenlosen Ratgeber gibt's hier

Die komplette Liste mit allen Vorteilen finden Sie in unserem Whitepaper Cyber Security Ratgeber. So auch die letzten drei Punkte unseres Masterplans für maximale Cyber Security. Haben wir Sie überzeugt? Wollen Sie lieber heute als morgen mit der Implementation starten? Dann laden Sie jetzt gleich den kompletten Cyber Security Ratgeber herunter und beginnen Sie noch heute mit der Umsetzung bzw. dem Aufbau Ihrer Cyber Security Strategie.

Den kostenlosen Download vom Cyber Security Ratgeber gibt's hier für Sie: