Inhalt

• Senken Sie Ihre Ausgaben für IT-Sicherheit mit Informationssicherheit
• Veranstaltungsempfehlungen
• Fakten und Zahlen
• White Papers
• Jobs
• Impressum

Senken Sie Ihre Ausgaben für IT-Sicherheit mit Informationssicherheit

Informationssicherheit befasst sich mit der Wahrung von Vertraulichkeit, Integrität aber insbesondere auch der angemessenen Verfügbarkeit von Information in einer Organisation. Das relative Gewicht dieser drei Eigenschaften gilt es dabei für jede Organisation individuell auszubalancieren. Dabei geht es nicht nur um die Verarbeitung von Information durch Computersysteme, deren Speicherung und Archivierung sowie deren Übertragung durch Netzwerke, sondern auch um die die Prozesse zur Handhabung von Information, die Bearbeitung und Verwendung durch Menschen, die Übermittlung durch Geräte wie Telefone und Fax und den Versand durch die Post. Informationssicherheit umfasst damit weit mehr als IT-Sicherheit.

Wie kann man also ``mehr'' mit ``weniger'' erreichen? Schlüssel zum Verständnis ist, dass eine über ein Managementsystem geführte Informationssicherheit auf einem Geschäftsrisikoansatz beruht, über das sämtliche Sicherheitsausgaben gesteuert werden. Das heisst, alle Ausgaben für Informationssicherheit werden auf der Basis einer Risikobeurteilung an den Geschäftsbedürfnissen und der Risikofähigkeit der Organisation ausgerichtet. So wird ausschliesslich und risikoentsprechend in die gemäss Risikobeurteilung besonders schützenswerten Systeme, Einrichtungen, Geräte und ganz allgmein (materiellen und immateriellen) Verrmögenswerte investiert. Alle anderen Investitionen werden ersatzlos gestrichen.

Unter Verwendung der Risikobeurteilung, die auch das Lebenszyklusmanagement von Daten gemäss den gesetzlichen Anforderungen berücksichtigt, können weiterhin in der Regel substanzielle Datenmengen gelöscht und die dazugehörigen Systeme stillgelegt oder anderweitig verwendet werden. Auch die Überwachung unkritischer Systeme kann reduziert werden. Beide Massnahmen führen zu weiteren Einsparungen.

Und ganz wichtig: In der Regel teure, technologiegetriebene technische Schutzmassnahmen zur Schliessung einzelner Sicherheitslücken mit allfälligen Überschneidungen, die nicht aus der Risikobeurteilung erwachsen, werden so von vornherein vermieden. Gemäss einer Studie von Gartner wurden im Jahr 2008 weltweit 13.5 Milliarden US-Dollar für Sicherheitssoftware ausgegeben, 18.6 Prozent mehr als im Jahr zuvor. Es darf vermutet werden, dass dieser Betrag deutlich niedriger ausgefallen wäre, wenn alle Organisationen die Ausgaben für ihre Informationssicherheit wie beschrieben steuern würden.

Aber auch ausserhalb des IT-Bereichs hilft Informationssicherheit die Betriebskosten zu senken. Dank einer einheitlichen, organisationsweiten Sicherheitspolitik und den daraus abgeleiteten Richtlinien werden Doppelspurigkeiten und/oder Widersprüche vermieden und so die Unterhaltskosten für diese wichtigen Dokumente reduziert. Ein dokumentiertes und nachweisbares Sicherheitsmanagement als wichtiger Teil eines internen Kontrollsystems erleichtert die Wirtschaftprüfung und reduziert somit die Kosten für die Revision. Weil mit einer geführten Informationssicherheit die operationellen Risiken reduziert werden können auch günstigere Kredite und Versicherungsprämien resultieren.

Schliesslich kann mit einem funktionierenden Informationssicherheitsmanagementsystem auch die sorgfältige Leistungserbringung auf dem Stand der Technik nachgewiesen werden. Das ist für die Führungskräfte einer Organisation ein nicht ganz unwichtiger Aspekt, können sie doch so Haftungsansprüche und Schadensersatzforderungen vermeiden.

PD Dr. Karsten M. Decker

Veranstaltungsempfehlungen

Fakten und Zahlen

• Von der IT-Sicherheit zur Informationssicherung. Aktuelle gezielte IT-Angriffe lassen sich auch mit Hilfe technischer Sicherheitsvorkehrungen sowie einer gesunden Portion Menschenverstand nicht immer erfolgreich abwehren. Das ist offensichtlich, wenn man bedenkt, dass bei den letzten, äusserst breit gestreuten E-Mail-Wellen zwischen dem Versand der Malware und dem Zeitpunkt, als die ersten Virenscanner diese erkannt haben, zwischen sechs und zwölf Stunden vergingen. Zusätzlich zu den Limiten technischer Sicherheitsmassnahmen gesellen sich der teilweise unsorgsame und schon fast naive Umgang mit Informationen und Daten innerhalb des ITSicherheitsperimeters. Noch viel weniger können technische Schutzmassnahmen etwas dagegen ausrichten, wenn in der internen Post CD-ROMs mit ein paar Millionen Bankkontendaten, Steuerrechnungen und dergleichen einfach verloren gehen. Deshalb ist eine Neufokussierung nötig, welche den risikogerechten Schutz der Information ins Zentrum rückt und nicht nur den Schutz der Computer und Netzwerke berücksichtigt.
  (Quelle: Melde- und Analysestelle Informationssicherung MELANI Halbjahresbericht 2008/1, Stand 13. Oktober 2008)
• IT-Chefs schützen ihren Betrieb ungenügend. Jeder zweite Entlassene klaut Daten. Scheidende Angestellte, die nicht gut auf den Arbeitgeber zu sprechen sind, klauen vor ihrem Weggang besonders oft Daten. Und jeder Vierte CIO lässt Nutzerkonten von Entlassenen nicht sofort sperren. Dabei könnten IT-Chefs stärker gegen Datenklau vorgehen.
  (Quelle: CIO.de, 16. März 2009)
• Diebstahl von Kunden- oder Mitarbeiterdaten durch Insider und ehemalige Mitarbeiter. Gemäss der KPMG Studie ``e-Crime Survey 2009'' (Befragung von 307 Entscheidern aus international tätigen Unternehmen) gilt im gegenwärtigen ökonomischen Klima der Diebstahl von Kunden- oder Mitarbeiterdaten durch Insider und ehemalige Mitarbeiter mit 64 Prozent als grösstes Risiko. Auf den Plätzen zwei bis fünf folgen das Wissen um Schwachstellen in Geschäftsprozessen und -systemen, die vorsätzlich durch Insider und ehemalige Mitarbeiter ausgenutzt werden (62 Prozent), der Diebstahl von geistigem Eigentum oder sensiblen Geschäftdaten durch Insider und ehemalige Mitarbeiter (61 Prozent), der Verlust von sicherheitsrelevantem, nicht-dokumentiertem Geschäftswissen (38 Prozent) und Mitarbeiter, die persönliche Information auf dem Internet platzieren, die durch Angreifer ausgenutzt werden kann (36 Prozent.
  (Quelle: CIO.de, 15. Mai 2009)

White Papers

• ISO/IEC 27001:2005 Zertifikate weltweit
  (Quelle: www.iso27001certificates.com)
• Informationssicherheit - Schutz und Zukunfssicherung zugleich
  (Publiziert in Das Schweizer Industriemagazin. Seit 1972. ``maschinenbau'', Nr. 12, Dezember 2008)
• Ist Informationssicherheit ein technisches Problem?
  (Publiziert bei Securitymanager.de, Juni 2007)
• Basel II: Senkung der operationellen Risiken schafft Zugang zu günstigeren Krediten
  (Publiziert im Schweizer KMU Magazin ORGANISATOR, Nr. 5, Mai 2007)
• Informationssicherheit und Outsourcing: Fünf Trends für 2007
  (Publiziert im Schweizer KMU Magazin ORGANISATOR, Nr. 3, März 2007)
• Informationssicherheit: Luxus oder überlebenswichtig?

Alle White Papers sind gratis.

Jobs

Suchen Sie eine neue Herausforderung? Können Sie auf eine langjährige erfolgreiche Berufstätigkeit als Linienverantwortlicher zurückblicken? Möchten Sie nicht nur beraten, sondern die von Ihnen erarbeiteten Konzepte auch verantwortlich umsetzen?

Zur Erweiterung unseres Teams freier Mitarbeiter suchen wir erfahrene Fachspezialisten mit Flair für das Geschäft und grosser Sozialkompetenz in den folgenden Bereichen:

• Informationssicherheit
• IT Service Management
• Internationales Projektmanagement
• Projektassistenz
• Public Relations und Event-Management

Bitte senden Sie Ihre Bewerbung an PD Dr. Karsten M. Decker. Für Fragen steht Ihnen Karsten Decker auch unter der Telefon-Nr. +41 (41) 790-9080 zur Verfügung.

Impressum

Herausgeber: Decker Consulting GmbH, Birkenstrasse 49, CH-6343 Rotkreuz
Tel: +41 (41) 790-9080, Fax: +41 (41) 790-9082, E-Mail: info@mit-solutions.com

Copyright: Alle in diesem Newsletter erschienenen Beiträge sind urheberrechtlich geschützt.

Wenn Sie den Newsletter abbestellen möchten, senden Sie bitte eine E-Mail mit dem Betreff ``Stop Newsletter'' an info@mit-solutions.com.