|
Eine Frage der Organisation
Die beste Hard- und Software nützt nichts, wenn den Mitarbeitern Sicherheitsbewusstsein fehlt. Dieses beginnt mit
Passwörtern, die nicht geändert werden und oft am Post-it stehen, das am Bildschirm klebt. Dazu gehört aber auch das
tägliche Update der Anti-Virus-Software. Firewall-Einstellungen dürfen nicht eigenmächtig verändert werden, nur weil der
Ablauf dadurch bequemer wird ...
Die Gefahr lauert auch im Social-Engineering: Geheime Informationen werden trickreich erschlichen. Jeder Mitarbeiter muss
Sicherheit ernst nehmen und leben. Dazu sind Informations- und Motivationsmaßnahmen notwendig, die sich an den Bedürfnissen
des einzelnen Mitarbeiters orientieren.
Das Experten-Kernteam hat die Aufgabengebiete der Organisatorischen Sicherheit aufgeteilt in:
- allgemein und wirtschaftlich
- Prozesse und Recht
Informieren Sie sich, was im Detail zu diesen Aufgaben gehört.
» Organisatorische Sicherheit: allgemein und wirtschaftlich
Analyse des Gegners
Unternehmens-Inwelt
- Mitarbeiter
- Mitarbeiterfluktuation
- Subjektives Sicherheitsgefühl
- Mitarbeiter-Weiterbildung
- Social Engineering
- Sicherheitsbewusstsein
- Geschäftskontinuität
Unternehmens-Strategie
Informationssicherheit vs. Arbeitsbeeinträchtigung und Benutzerfreundlichkeit
- Outsourcing
- Verträge
- SLA´s
- Umgang mit der Öffentlichkeit
- Public Relations
- Krisen-Kommunikation
Unternehmens-Umwelt
- Katastrophen
- Konkurrenz
- Wirtschaftsspionage
- Wirtschaftskriminatlität
Risikomanagement
- Allgemein
- Abgrenzung
- Identifikation der Analyseobjekte
- Risikoanalyse
- Wertanalyse
- Bedrohungsanalyse
- Schwachstellenanalyse
- Bestehende Schutzmaßnahmen
- Risikobewertung, Prioritäten
- Maßnahmenzuordnung
Maßnahmen
- Umfang der präventiven Maßnahmen
- Kosten-/Nutzen-Analyse
Schutzbedürfnis
Sicherheitsstrategie
Systemüberforderung
» Organisatorische Sicherheit: Prozesse und Recht
Organisation Juristisch
- Behördenauflagen
- Betriebsvereinbarungen / Verträge
- e-Mail
- Internetnutzung
- Datenschutz (DSG)
- Digitale Signatur
- Haftung und Recht
- Normen und Vorschriften
Prozedural: Rechte & Pflichten, Benutzerrichtlinien
- IT-Nutzung, z.B. privat
- Vertraulichkeit
- e-Mail-Nutzung
- Internet-Nutzung
- Viren, Würmen, Trojaner
- Spam
- Clean Desk Regelungen
- Social Engineering-Schutz
Prozedural: Maßnahmenliste für KMU´s
- Sicherheitsorganisation im Unternehmen
- Kompetenzen, Verantwortlichkeiten
- System- und Datenklassifikation
- Personalaspekte
- Training
- Bewusstseinsbildung
- Sicherer Betrieb von Rechnern
- Change Management
- Management von Patch-Applikationen
- Passwortverwaltung
- Kryptografie
- Verwaltung von Benutzerpasswörtern
- Verwaltung von System- und Adminpasswörtern
- Prozeduren im Bereich Netze
- Pflege, Dokumentation von Konfigurationen (Router, Switches usw.)
- Verantwortlichkeit, Abläufe für Website-Inhalte
- Dokumentation, Wartung, Firewallregeln
- Datensicherungsabläufe
- Pflanung, Durchführung der Sicherungen - einschließlich Auslagerung
- Kontrolle der Sicherungen
- Durchführung, Dokumentation, Wiederherstellungstests
- Katastrophenplanung
- Abläufe zur Erstellung eines Katastrophenplans
- Inhalte eines Katastrophenplans
- Inhalte Alarmplan
- Jursitische und prozessuale Aspekte des (Out)Sourcing
- Etscheidung, ob und was extern vergeben wird
- Auswahl der Anbieter
- Erstellung und Verhandlung des SLAs
- Überwachung der Performance
- Reaktive Maßnahmen auf Vorfälle
- im technischen Bereich
- im personellen Bereich
- Archivierungsfragen
- Vorgehensweise
- Risikobetrachtungen
- Beschreibung Vorgehensweise
- Problemfeld Mensch
- Problemfeld Organisation, Regelungen
- Datenqualität
|
|
|
(Copyleft) 2005