Was bedeutet Sicherheit in der Informationstechnologie?
IT-Sicherheit ist ein Bestandteil der Informationssicherheit und trägt zur Absicherung dieses strategisch wichtigen Bereichs Ihrer Organisation gegen Eindringen, Missbrauch und Beschädigung von Systemen bei.
Hierfür steht ein ganzes Massnahmenbündel zur Verfügung, welches angefangen von organisatorischen Massnahmen bis zum Einsatz angemessener Sicherheitstechnologien reicht und auch Situationen berücksichtigt, in denen etwas nicht plangemäss funktioniert.
Dabei gilt: Informationssicherheit sollte niemals bei punktuellen Massnahmen stehen bleiben. Nur ein integrierter Ansatz, der alle Aspekte berücksichtigt, kann Informationssicherheit zuverlässig und kosteneffizient gewährleisten. Informationssicherheit in diesem Sinne muss in der Organisation zum Prozess werden, der alle Bereiche der Organisation umfasst, denn auch für die Informationssicherheit gilt, dass das schwächste Element bestimmend für die gesamte Sicherheit der Informationen ist.
IT-Sicherheit als kontinuierlicher Prozess besteht aus
- Risikoidentifikation
- Risikominimierung
- Aufbau von konsistenten Kontrollen und Prozeduren
- Monitoring
Dieses Vorgehen ermöglicht eine kontinuierliche und angepasste Überwachung und Verbesserung der IT- bzw. der gesamten Informationssicherheit.
Warum IT-Sicherheit?
Mit der Einführung der elektronischen Datenverarbeitung in allen Lebensbereichen hat sich die Welt dramatisch verändert. Dies gilt insbesondere für die Unternehmen, die zunehmend immer mehr von IT-Systemen abhängig geworden sind. Durch die immer enger werdende Vernetzung der Systeme sind Organisationen verwundbarer den je geworden. Daraus ergeben sich neue bzw. veränderte Anforderungen:
- Potentiellen Angreifern bieten sich vielfältige Angriffsmöglichkeiten, die zunehmend schwieriger zu identifizieren sind
- Globalisierung der Gefahren
- Angriffe sind selbst über einfache IT-Anwendungen wie e-Mails möglich.
Daneben bestehen weiterhin die "alten" Gefahren, wenn Informationen und Systeme nach innen unzureichend abgesichert werden. Die meisten Angriffe auf die Informationssicherheit haben ihren Ausgangspunkt aus dem Inneren der Organisation und finden durch die eigenen Mitarbeiter statt.
Hieraus resultieren Datenverlust, -verfälschung oder ungewollte Veröffentlichung von sensiblen Daten. Die Kosten, Imageschäden oder gar juristischen Folgen, die sich daraus ergeben, können schnell zur erheblichen Schäden führen die bis zum Untergang der Organisation reichen. Neben diesen Gefahren, die die Informationen eines Unternehmens direkt betreffen bestimmt auch die Verfügbarkeit dier Informationen eine erhebliche Rolle. Ereignisse wie insbesondere der 11. September 2001 zeigen deutlich, wie schnell Organisationen untergehen, die zwar noch im Besitz der Informationen sind, auf diese aber nicht zugreifen können.
Jedes Unternehmen sollte daher besonderen Wert auf ein ausreichendes Risikomanagement im Bereich der Informationssysteme legen, welches die Mitigation erkannter Risiken einschliesst und ein kontinuierliches Monitoring sicherstellt.
Unsere Dienstleistungen
Unser Vorgehen folgt dem bereits eingangs beschriebenen Prozesskreislauf. Für den Aufbau haben wir die notwendigen Schritte in vier Phasen gegliedert:
Risikoidentifikation
- Berücksichtigen aller Risiken unabhängig von früheren Massnahmen
- Überblick über alle Gefährdungen
Risikominderung
- Absicherung durch Versicherungen
- Abschalten risikoreicher, nicht notwendiger Systeme
- Technische und organisatorische Backup-Konzepte
- Einführung von neuen, sicheren Systemen
Konsistente Kontrollen und Prozeduren
- Minimierung der Eintrittswahrscheinlichkeit von Risiken
- Begrenzung der möglichen Schadenshöhe
- einheitliche Massnahmen zur Gewährleistung von effizienten und kostengünstigen Lösungen
Monitoring
- konsequente Überwachung der eingeleiteten Massnahmen
- schnelle Reaktion auf mögliche Lücken im System.
COREVA hat Spezialisten, die Ihnen helfen können, ein IT Sicherheits Management aufzubauen. Wir helfen Ihnen beispielsweise, Information Security Management Systeme (ISMS) nach ISO 270001 (BS 7799) aufzubauen und können Ihnen helfen, eine entsprechende Zertifizierung vorzubereiten.
Ihr Nutzen
Informationssicherheit bringt der Organisation einen hohen Nutzen. Dieser liegt einerseits bei der Kostenvermeidung, andererseits ergibt sich auch eine Produktivitätssteigerung:
Kostenvermeidung
- Verringerung von Ausfallzeiten
- Minderung des Kostenrisikos aus Regressansprüchen
- Verringerung der Kosten für Datenwiederherstellung
- Verringerung des persönlichen Haftungsrisikos für die Geschäftsleitung
Produktivitätssteigerung
- Bessere Nutzung der Arbeitszeit dank Vermeidung von Leerlaufzeiten durch IT-Ausfallzeiten
- Verbesserte Produktivität in der IT-Abteilung durch klare Regelungen
- Verbesserte und schnellere Anpassung der IT-Systeme an die Notwendigkeiten der Organisation
Fakten
| Risiken für Informationssicherheit | |
| • | Organisatorische Schwachstellen |
| • | Schwachstellen in Geschäftsprozessen |
| • | IT-Systemschwach-stellen |
| IT-Sicherheit als Prozess | |
| • | Risikoindentifikation |
| • | Risikominimierung |
| • | Konsistente Kontollen und Prozeduren |
| • | Monitoring |
| Nutzen | |
| • | Produktivitätssteigerung |
| • | Kostenvermeidung |
| • | Effizienzsteigerungen |
| • | Compliance |
