Warum ein ISMS-Tool eine sinnvolle Investition darstellt
Nach einer Umfrage von bitkom, die Ende 2018 durchgeführt wurde, gaben sieben von zehn befragten Unternehmen an, in den vergangenen beiden Jahren Opfer von Sabotage, Datendiebstahl oder Spionage gewesen zu sein. Dabei entstand ein Gesamtschaden von über 43 Milliarden Euro! Diese Zahl veranschaulicht daher die Dringlichkeit, in die Verbesserung der IT-Sicherheit zu investieren und angemessene Maßnahmen zu ergreifen.
„Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.“
www.security-insider.de
Eine toolgestützte ISMS-Implementierung etwa auf Basis der ISO 27001 ist dabei aus folgenden Gründen sinnvoll:
Generierung eines Wettbewerbsvorteils
Einem Unternehmen, das seine sensiblen Daten schützt, wird folglich in der Regel mehr Vertrauen entgegengebracht. Häufig wird auch darauf geachtet, dass Zulieferer ein bestimmtes Niveau an IT-Sicherheit einhalten. Wer nachweisen kann, dass Informationssicherheitsmaßnahmen umgesetzt werden, sichert nicht nur die Zukunft des Unternehmens, sondern schafft dafür auch einen Wettbewerbsvorteil.
Vermeidung teurer IT-Vorfälle
Maßnahmen zu ergreifen und damit Vorsorge zu leisten, ist grundsätzlich immer besser als nichts zu tun. Dies sollte ferner natürlich in einem angemessenen Kosten-Nutzen-Verhältnis stehen und die Umsetzung dokumentiert sein.
Erhöhung der Transparenz
Darstellung des Status der Informationssicherheit eines Unternehmens in übersichtlicher Art und Weise, um so einen regelmäßigen Management-Review zu ermöglichen.
Erhöhung der Qualität
Verfolgung eines bewährten und nachvollziehbaren Vorgehens bei der Implementierung eines ISMS nach dem PDCA-Zyklus. Das ISMS kann dadurch kontinuierlich überwacht und verbessert werden.
Senkung von Kosten
Vermeidung von Redundanzen und Doppelarbeiten durch die einheitliche Erfassung der ISMS-Aktivitäten in einem einzigen Tool.
Welche Anforderungen sollte ein ISMS-Tool erfüllen
Bei der Auswahl eines ISMS-Tools sind die Anforderungen abhängig von der Unternehmensgröße, dem bereits definierten Prozessen als auch von bevorzugter Technik und Betriebsform (Webanwendung? SaaS? On Premises?). Welche Anforderungen erfüllt sein sollten, sind im Folgenden aufgeführt:
Dashboards und Report-Generierung
Grafischer Überblick über alle relevanten Informationen und umfassende Exportmöglichkeiten in Form von Reports.
Integrierte Regelwerke, Standards und Richtlinien
Möglichkeit der Abbildung bzw. Unterstützung verschiedener Standards (z. B. ISO 27001, ISO 27019, IT-Sicherheitskatalog, TISAX, VDA etc.) sowie deren Verknüpfung zu anderen Datensätzen in der Software (Risiken, Schwachstellen, Maßnahmen etc.).
Durchführung von Audits
Softwareunterstützung beim gesamten Audit inklusive Follow-Up (Zuweisung von Aufgaben und Verantwortlichkeiten, Durchführung von Kontrollen, Erstellung des Statement of Applicability, Schwachstellenmanagement, Maßnahmendefinition etc.)
Management von Risiken
Beschreibung, Bewertung und Behandlung des Risikos sollten unbedingt Bestandteil eines ISMS-Tools sein. Am Ende sollten die aktuellen Bewertungen der Risiken in einer Risikomatrix visualisiert werden und der Umgang mit den Risiken über den Zeitverlauf einsehbar bzw. nachvollziehbar sein.
Workflowfähigkeit
Um die Vorgehensweise z. B. bei der Anlage von Datensätzen genauer einzugrenzen und den Benutzer an die Hand zu nehmen (User Guidance), sollten individuelle Workflows vorgegeben werden können.
Mandantenfähigkeit
Basierend auf einem Berechtigungskonzept sollte die Trennung von Datensätzen für verschiedene Mandanten möglich sein. Darüber hinaus wäre es sinnvoll, wenn die Möglichkeit bestünde, individuelle Berechtigungen auf Datensatzebene (zeitlich befristet oder dauerhaft) anzupassen.
Flexibilität
Es sollte möglich sein, die Datensätze und die Verknüpfungen untereinander in beliebiger Reihenfolge anzulegen.
Konfigurierbarkeit
Die Software sollte umfangreiche Konfigurationsmöglichkeiten aufweisen, um den Kunden eine bestmögliche Anpassung der Software an deren individuelle Anforderungen und Wünsche zu ermöglichen.
Fazit
Im Rahmen der erwähnten Umfrage von bitkom gaben schließlich zwei Drittel der befragten Unternehmen als künftige Bedrohung den Mangel an IT-Sicherheitskräften an. Um diesem Mangel an IT Sicherheitskräften mit Effizienzsteigerungen entgegenzuwirken, sollte daher unbedingt ein ISMS-Tool wie die ibi systems iris genutzt werden. Damit lassen sich die ISMS-Prozesse nicht nur effizienter durchführen, sondern auch der Überblick über den Status quo bleibt erhalten und es können jederzeit und bequem Reports für das Management generiert werden. Eine toolgestützte ISMS-Implementierung ist also sehr zu empfehlen.
Die Wichtigkeit der erwähnten Anforderungen an ein ISMS-Tool ergibt sich ebenfalls aus den individuellen Präferenzen der Anwender. Die Auflistung hat dahe keinen Anspruch auf Vollständigkeit, stellt aber eine gute Basis für eine erfolgversprechende Auswahl eines ISMS-Tools dar.
____________________
Quellen:
- Attacken auf deutsche Industrie verursachten 43 Milliarden Euro Schaden, Online im Internet: https://www.bitkom.org/Presse/Presseinformation/Attacken-auf-deutsche-Industrie-verursachten-43-Milliarden-Euro-Schaden.html, Abfrage: 09.07.2019, 13:36 Uhr.
- Luber, Stefan, Schmitz, Peter (2017): Definition ISMS, Online im Internet: https://www.security-insider.de/was-ist-ein-information-security-management-system-isms-a-648735/, Abfrage: 09.07.2019, 14:09 Uhr.