Chaos in der IT-Security. Jeder macht was er will und niemand hat den Überblick. Kommt Ihnen das bekannt vor? Die IT-Security im Unternehmen dauerhaft unter Kontrolle haben und zuverlässig zu steuern, das erreichen Sie mit einem ISMS. Wie das geht, verrate ich in diesem Video.
Solange es keine Organisation der IT-Security gibt, macht jeder etwas. Ich würde es so vergleichen: Jeder hat einen Teil, den Zusammenhang bzw. den Überblick um Cyberangriffe abzuwehren gibt es nicht.
IT-Security wird von unterschiedlichen Bereichen im Unternehmen je nach Bedarf eingeführt. Der IT-Betrieb besitzt vielleicht ein Tool, um die Verfügbarkeit von Services zu überwachen. Ein Fachbereich hat einen Schwachstellenscanner am Laufen und ein weiterer Bereich besitzt ein Tool zur 2 Factor Authentifizierung. Jeder Bereich nutzt also Teile der IT-Security, die er gerade benötigt, aber es gibt keine übergreifende Organisation, die den Überblick hat, wo im Unternehmen was eingesetzt wird. Vielleicht gibt es Tools verschiedener Hersteller, die aber das gleich tun. Wichtig ist, die Informationen und die Prozesse unternehmensweit organisiert und gesteuert werden. Und hier kommt das ISMS ins Spiel.
Wozu ist ein ISMS da?
Ein ISMS schafft die Grundlage für die gesamtheitliche Organisation der IT-Security im Unternehmen. Es dient als Fundament, um darauf aufbauend, die IT-Security weiterzuentwickeln und zu strukturieren. Man kann sich das ISMS wie das Fundament auf einer Baustelle vorstellen. Das Fundament für ein Haus wird als erstes gebaut. Anschließend wird auf dem Fundament das Haus gebaut. Das ISMS ist also die Basis, die man brauch um IT-Security im Unternehmen steuern zu können. Das Haus, welches der Verteidigung gegen Cyberangriffe entspricht, kann erst dann umgesetzt werden, wenn ein stabiles Fundament steht.
Es gibt nun verschiedene Möglichkeiten ein ISMS aufzubauen. Dafür dienen verschiedene Frameworks als Grundlage. In Deutschland wird ein ISMS häufig nach BSI-Grundschutz oder nach der ISO27001 aufgebaut. Ist ein ISMS nach ISO27001 aufgebaut, so kann das Unternehmen sich auch nach ISO27001 zertifizieren lassen.
Warum zertifizieren sich Unternehmen nach ISO27001? Es kann sein, dass man nach gesetzlichen Regelungen zu einer ISO27001 Zertifizierung verpflichtet ist. Es gibt Kunden, die für eine Zusammenarbeit eine ISO27001 Zertifizierung fordern. Außerdem kann eine Zertifizierung auch als Wettbewerbsvorteil dienen. Denn dadurch kann dem Kunden signalisiert werden, dass man IT-Security und die Daten der Kunden schützt.
Es gibt darüber hinaus in Deutschland noch zwei weitere Standards für den Aufbau eines ISMS. ISIS12 ist ein Standard für kleinere und mittlere Unternehmen, um ein ISMS in einer reduzierten Form aufzubauen. Der Aufbau eines ISMS für kleine Unternehmen stellt oft eine große Hürde dar. Warum? Das Unternehmen muss Mitarbeiter bereitstellen, die sich um IT-Security kümmern. Neue Tools müssen betrieben werden. Mitarbeiter müssen Rollen in IT-Security Prozessen wahrnehmen. Was dazu führt, dass sie für andere Tätigkeiten nicht mehr zur Verfügung stehen. ISIS12 stellt eine Art „ISMS light“ dar. Nur die wirklich wichtigen Teile für ein kleines Unternehmen werden behalten und alles was zu viel Overhead produziert, wird ignoriert.
Es gibt außerdem TISAX. Hierbei handelt es sich um einen Standard, der speziell für die Autoindustrie und deren Zulieferer gedacht ist. Ein Unternehmen kann sich nach dem TISAX Standard zertifizieren lassen. Die Autoindustrie hat irgendwann gemerkt, dass es wichtig ist das Know-how und die Informationen der Kunden zu schützen. Daher hat der Verband der Automobilindustrie den TISAX Standard erlassen. Diese legt neben der Informationssicherheit Wert auf den Schutz der Informationen bei der Zusammenarbeit mit Zulieferern und des Prototypenschutzes.
__________
Unser Ziel ist es, Unternehmen einfach und verständlich zu zeigen, wie Sie IT-Sicherheit in Ihren Unternehmen verbessern können. Dabei helfen wir Ihnen mit unserem Team zu erkennen, worauf Sie achten müssen, um kosteneffizient die wichtigsten Maßnahmen zu treffen, damit die Informationssicherheit in Ihrem Unternehmen bestmöglich geschützt ist.
▬ Kanal Abonnieren ▬▬▬▬▬▬▬▬▬▬▬▬
kzread.info
▬ Kontakt ▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
► Wenn Sie die IT-Sicherheit in Ihrem Unternehmen verbessern wollen, dann machen Sie einen Termin mit uns aus. Unser Experten Team berät Sie gerne rund ums Thema IT-Security.
► E-Mail: business@michaelgorski.net
► Telefon: +49 (0)2173 9998710
▬ Profile im Netz ▬▬▬▬▬▬▬▬▬▬▬▬▬
► Web: www.michaelgorski.net/
► Linkedin: www.linkedin.com/in/michaelgorski/
► Xing: www.xing.com/profile/Michael_Gorski12/
► Twitter: michael_gorski/
► Instagram: dr.gorski_it_security
► TikTok: www.tiktok.com/@dr.gorski_it_security
kzread.info/dash/bejne/dIOsuMaoo7nQmMo.html
#ITSecurity #ISMS #ISO27001