Inhalt

• Besserer Reputationsschutz dank Informationssicherheit
• News
• Veranstaltungsempfehlungen
• Fakten und Zahlen
• Informationssicherheit und Outsourcing leicht gemacht
• White Papers
• Jobs
• Impressum

Besserer Reputationsschutz dank Informationssicherheit

Die Reputation eines Unternehmens ist ein hehres Gut. Entsprechend grosse Aufmerksamkeit geniesst dessen Schutz bei den Führungsorganen eines Unternehmens. Umso erstaunlicher ist es, wie wenig Beachtung Führungskräfte dem risikogerechten Schutz unternehmenskritischer Information widmen, ist doch der nicht angemessene Umgang damit eine ergiebige Quelle für Reputationsverluste vielfältiger Art. Dabei geht es nicht nur um die Information selbst, sondern auch um die Träger, auf denen Information gespeichert ist (z.B. Festplatten, USB-Sticks, CD-ROMs, DVDs, aber auch Mobiltelefone, PDAs, Smartphones, Notebooks, Netbooks), die Prozesse zur Handhabung von Information sowie die eigentliche Verarbeitung und Übermittlung durch Menschen sowie Systeme und Einrichtungen wie Computer, Netzwerke, Telefone und Fax.

Wie kann konkret im Umgang mit Information das Ansehen eines Unternehmens bei Kunden und Partnern oder in der Öffentlichkeit geschädigt werden? Geraten z.B. auftrags- oder personenbezogene Information von Kunden oder Details von Verträgen mit Lieferanten aufgrund der Gutgläubigkeit eigener Mitarbeiter nach sozialen Manipulationsattacken in die falschen Hände, ist der Reputationsschaden offensichtlich. Welches Unternehmen und welche Führungskraft möchte sich vorwerfen lassen, anvertraute Information nicht mit der gebotenen Sorgfalt zu behandeln?

Schaden entsteht aber auch, wenn nach einer Umweltkatastrophe die Aufnahme eines geordneten Betriebs unangemessen lange dauert und dies aufgrund von Lieferverzögerungen für die Kunden ersichtlich oder gar allgemein publik wird. Hier hat das betroffene Unternehmen wohl dem Management des kontinuierlichen Geschäftsbetriebs, einem wichtigen Aspekt einer geführten Informationssicherheit, zu wenig Beachtung geschenkt. Ähnliche Wirkung kann die unvollständige Wiederherstellung eines geschäftskritischen Systems nach technischen Defekt zeigen, weil z.B. die Datensicherung zwar sorgfältig erfolgt ist aber nicht auf ihre Korrektheit geprüft wurde.

Und welches Unternehmen möchte Gegenstand einer administrativen Untersuchung durch Regulierungsbehörden werden, weil die Einhaltung von Gesetzen, Verordnungen oder Regulatorien (auch dies wichtige Punkte einer geführten Informationssicherheit) mangelhalft ist? Man denke z.B. (aus aktuellem Anlass) an den Schutz der Persönlichkeit und der Grundrechte von Personen. Oder die Archivierungspflichten für Information, wobei Archivierung häufig und fälschlicherweise mit Datensicherung verwechselt wird.

Die Beispiele liessen sich fast beliebig fortsetzen. Natürlich kann ein Unternehmen sich mit einem Strauss individueller Massnahmen gegen Vorfälle dieser Art und damit gegen Reputationsschaden aufgrund von mangelhafter Informationssicherheit schützen. Es fehlt dann aber die ganzheitliche Betrachtung und der unmittelbare Bezug zur Geschäftstätigkeit. Teure Überschneidungen und technologiegetriebene Lösungen sind die Folge. Der Lösungsansatz ist in der Regel reaktiv, weil es an geeigneten Prozessen für eine proaktive Behandlung fehlt. Weil der Bezug zum unternehmensweiten Risikomanagement unzureichend ist, sind die Massnahmen häufig zu restriktiv und behindern die Geschäftsprozesse. Weder die Investitions- noch die Betriebskosten können durch die Geschäftsanforderungen gerechtfertigt werden.

Zielführend hingegen ist es, sich an dem sehr gut ausgearbeiteten und zertifizierbaren internationalen Standard ISO/IEC 27001:2005 (Informationssicherheitsmanagementsysteme - Anforderungen) zu orientieren, der für Unternehmen jeder Grösse geeignet ist. Der dazugehörige Leitfaden ISO/IEC 27002:2005 enthält eine Fülle von praktischen Realisierungsvorschlägen. Und ISO/IEC 27005:2008 (Management von Informationssicherheitsrisiken) macht konkrete Empfehlungen zur risikobasierten Implementierung von Informationssicherheit, die auf die Konzepte von ISO/IEC 27001:2005 abgestimmt sind. Auch wenn in der Regel eine Zertifizierung nicht das Ziel ist, helfen die beiden Standards auf effiziente, hersteller- und anbieterneutrale Weise den Reputationsschutz zu verbessern.

PD Dr. Karsten M. Decker

News

• Decker Consulting GmbH erweitert das Angebot um Aktivitäten zur Sensibilisierung, Ausbildung und Schulung.
• Neu in unserem Leistungsangebot: Der ISO/IEC 27001:2005 Zertifizierter Lead Auditor Kurs.

Veranstaltungsempfehlungen

Fakten und Zahlen

• Sicherheits-Policies scheitern am Büroalltag. Anwender verstossen gegen Security Policies, weil sie nicht mit ihrem Arbeitsalltag übereinstimmen. So erklären gemäss der Cisco Studie ``The Challenge of Data Leakage For Businesses and Employees Around the World'' 33 Prozent der Befragten Benutzer, sie bräuchten für ihr Tagwerk Programme, zu denen sie laut Policies keinen Zugang hätten.
  (Quelle: CIO.de, 28. November 2008)
• Mitarbeiter plaudern Interna aus. Gemäss der Cisco Studie ``The Challenge of Data Leakage For Businesses and Employees Around the World'' sprechen weltweit 21 Prozent der 2,000 befragten Mitarbeiter mit engen Freunden über ihre Arbeit und verraten dabei auch Interna. Auf die Frage nach dem Warum sagten 44 Prozent aller Studienteilnehmer, eine Idee oder ein Gedanke sei aus ihnen herausgesprudelt. 30 Prozent wollten Dampf ablassen, 29 Prozent geben an, sie hätten darin nichts Schlechtes gesehen.
  (Quelle: CIO.de, 28. November 2008)
• Risikobeurteilung unvollständig. Für die Studie ``Global State of Information Security'' befragte das CSO-Magazin weltweit 7,097 IT-Sicherheitsexperten aus 119 Ländern zu Herausforderungen, Problemen und Fortschritten in der Informationssicherheit. 68 Prozent der Unternehmen bestimmen regelmässig den Risikofaktor von Daten, den unternehmerischen Wert halten aber nur 24 Prozent von ihnen fest - ein Fehler, denn die ideale Sicherheitsstrategie ergibt sich aus einer Kombination der beiden Werte.
  (Quelle: CIO.de, 28. November 2008)
• Viele Unternehmen wissen nicht, was mit ihren Daten passiert, wenn sie sie an eine andere Firma weitergeben. Gemäss der Studie ``Global State of Information Security'' des CSO-Magazins verfügen nur 22 Prozent der befragten Unternehmen über ein Verzeichnis derjenigen Unternehmen, die Daten von ihnen nutzen. Und nur 37 Prozent der Teilnehmer verlangen von Dritten, dass sie Daten nach den Richtlinien des Unternehmens behandeln, aus dem sie stammen. Ein Gutachten zur Überprüfung der Sicherheitsstandards im Drittunternehmen holen gerade einmal 28 Prozent der Befragten ein.
  (Quelle: CIO.de, 28. November 2008)

Informationssicherheit und Outsourcing leicht gemacht

Für Sie gratis bereitgestellt: Schnelltests und vollständige Selbstbewertungsformulare zu den folgenden Themen:

• Informationssicherheit - Schnelltest
• Outsourcing - Schnelltest
• Informationssicherheit - Selbstbewertung
• Outsourcing - Selbstbewertung

Überzeugen Sie sich selbst vom praktischen Wert unserer Formulare.

White Papers

• Informationssicherheit - Schutz und Zukunfssicherung zugleich
  (Publiziert in Das Schweizer Industriemagazin. Seit 1972. ``maschinenbau'', Nr. 12, Dezember 2008)
• Ist Informationssicherheit ein technisches Problem?
  (Publiziert bei Securitymanager.de, Juni 2007)
• Basel II: Senkung der operationellen Risiken schafft Zugang zu günstigeren Krediten
  (Publiziert im Schweizer KMU Magazin ORGANISATOR, Nr. 5, Mai 2007)
• Informationssicherheit und Outsourcing: Fünf Trends für 2007
  (Publiziert im Schweizer KMU Magazin ORGANISATOR, Nr. 3, März 2007)
• Informationssicherheit: Luxus oder überlebenswichtig?
• Grid Computing - the European business perspective
  (Publiziert in EuropeanCEO, November - Dezember 2004; in Englisch)

Alle White Papers sind kostenlos.

Jobs

Suchen Sie eine neue Herausforderung? Können Sie auf eine langjährige erfolgreiche Berufstätigkeit als Linienverantwortlicher zurückblicken? Möchten Sie nicht nur beraten, sondern die von Ihnen erarbeiteten Konzepte auch verantwortlich umsetzen?

Zur Erweiterung unseres Teams freier Mitarbeiter suchen wir erfahrene Fachspezialisten mit Flair für das Geschäft und grosser Sozialkompetenz in den folgenden Bereichen:

• Informationssicherheit
• IT Service Management
• Internationales Projektmanagement
• Projektassistenz
• Public Relations und Event-Management

Bitte senden Sie Ihre Bewerbung an PD Dr. Karsten M. Decker. Für Fragen steht Ihnen Karsten Decker auch unter der Telefon-Nr. +41 (41) 790-9080 zur Verfügung.

Impressum

Herausgeber: Decker Consulting GmbH, Birkenstrasse 49, CH-6343 Rotkreuz
Tel: +41 (41) 790-9080, Fax: +41 (41) 790-9082, E-Mail: info@mit-solutions.com

Copyright: Alle in diesem Newsletter erschienenen Beiträge sind urheberrechtlich geschützt.

Wenn Sie den Newsletter abbestellen möchten, senden Sie bitte eine E-Mail mit dem Betreff ``Stop Newsletter'' an info@mit-solutions.com.