PDCA-Zyklus für ganzheitliche Informationssicherheit nach BSI-Grundschutz und ISO 27001

Nur wenige Organisationen haben erkannt, dass der Einsatz von State-of-the-art-Technologien längst nicht mehr ausreichend ist, um sich gegen den Verlust von Unternehmenswerten zu schützen. Dass auch die organisatorischen Rahmenbedingungen zum Schutz von Unternehmenswerten auf den Prüfstand gestellt werden müssen, um unternehmerischen Risiken wie Wirtschaftsspionage vorzubeugen, wird oftmals nicht ausreichend beherzigt.

Um Informationssicherheit und Compliance auf allen Ebenen zu gewährleisten, ist ein ganzheitlicher Ansatz gefragt, der sowohl technologische als auch prozessuale und organisatorische Aspekte kombiniert. Dabei ist gut geplant schon halb gewonnen – und das mit Sicherheit! Eine strukturierte Vorgehensweise hilft auch in sicherheitsrelevanten Fragen bei der kosteneffizienten Bewältigung technischer und organisatorischer Herausforderungen.

Wichtige Grundlage für den erfolgreichen Abschluss von IT-Sicherheits- und Informationssicherheitsprojekten ist, dass alle Beteiligten an einem Strang ziehen, um gemeinsam Widerstände und Vorurteile innerhalb der Organisation abzubauen. Hier hilft ein ganzheitlicher Ansatz, der in allen Best Practice-Werken Anwendung findet, sich seit etlichen Jahren bewährt und bis heute nichts an Aktualität verloren hat: der PDCA-Zyklus.

PDCA-Zyklus

Durch Anwendung des vierphasigen Problemlösungszyklus machen sich Unternehmungen nicht nur die Vorteile eines standardisierten Vorgehens zunutze, sondern stellen zudem auch sicher, dass IT und Organisation regelmäßig auf den Prüfstand gestellt werden.

Damit steht einer kontinuierlichen, schrittweisen und qualitätsorientierten Verbesserung der Informationssicherheit nichts mehr im Wege. Kombiniert man dieses Vorgehensmodell, das seinen Ursprung im Bereich Qualitätssicherung findet, zusätzlich mit dem Grundschutzkonzept vom BSI und den Anforderungen der ISO 27001, entsteht eine unschlagbare Kombination zur Etablierung von Informationssicherheit als Richtlinie und Prozess. Der BSI-Grundschutz definiert allgemeingültige Anforderungen an sichere Infrastrukturen, beschreibt detailliert mögliche technische sowie organisatorische Gefahren und zeigt erforderliche Maßnahmen auf. Er bietet damit eine wertvolle Hilfestellung zur Planung und Umsetzung von IT-Sicherheitsrichtlinien und benennt die Erfordernisse zur Erreichung eines grundlegenden IT-Sicherheitsniveaus. Die ISO 27001-Norm setzt den Fokus auf das Zusammenspiel von technischen Maßnahmen und der organisatorischen Umsetzung von Richtlinien zur Erhöhung der Informationssicherheit. Hierbei steht nicht nur die IT-Sicherheit an zentraler Stelle, sondern vielmehr alle Unternehmenswerte der Organisation.

Gut beraten und vor allem sicher ist also, wer sich in jeder Phase der Optimierung von IT- und Geschäftsprozessen mit nachfolgenden Punkten auseinandersetzt und durch gelebte Strukturen sicherstellt, dass Informationssicherheit auch den gewünschten Mehrwert bietet:

• Bestandsaufnahme von Leit-/ Richtlinien, Zielen, Organisationsstrukturen
• Ist-Analyse von Prozessen, IT-Systemen, Infrastrukturen und Gefahren auf der ISO 27001
• Prüfung und Integration vorhandener Sicherheitsmaßnahmen, Identifikation, Bewertung und Dokumentation der Risiken
• Auswahl und Priorisierung notwendiger Maßnahmen
• Erstellung eines Projektplanes inklusive Meilensteinen und Quick Wins
• Dokumentation der Verantwortlichkeiten und Rollen
• Definition von maßnahmen- und zweckorientierten Teilprojekten unter Beachtung des wirtschaftlich sinnvollen Aufwands
• Sensibilisierung und Schulung aller Mitarbeiter, um den Wert von Informationen ins Gedächtnis zu rufen und das Bewusstsein hinsichtlich der Vorgehensweise von Social Engineers zu schärfen
• Kontinuierliche Verbesserung des Prozesses zur schrittweisen Erhöhung des insgesamt erreichten Schutzniveaus

Dies macht deutlich, dass Informationssicherheit weder einfach umzusetzen ist noch alleinige Aufgabe eines IT-Administrators sein kann. Der Erfolg hängt maßgeblich von der Unterstützung und Mitarbeit der Unternehmensführung ab. Gute Kommunikation gilt als Schlüsselelement, um deutlich herauszustellen, dass mangelnde Informationssicherheit nicht zuletzt auch existenzbedrohend sein kann.

Die häufigsten Ursachen für das Scheitern von Informationssicherheits- und IT-Security-Projekten sind schnell aufgezählt:

• Ungenügende Sensibilisierung des Managements
• Keine Vorbildfunktion des Managements
• Fehlende und/ oder nicht dokumentierte Strukturanalyse
• Fehlendes Bewusstsein für die Bedeutung von Unternehmenswerten
• Zeitlich begrenzte Herangehensweise statt kontinuierlichem Verbesserungsprozess
• Ungenügendes Verständnis zu den langfristigen Mehrwerten
• Fehlende Unterstützung durch betroffene Organisationseinheiten

12 Schritte zu mehr Sicherheit

Deshalb empfehlen wir Ihnen im Wesentlichen 12 Schritte (wie in folgender Abbildung dargestellt) zur Initiierung und Etablierung eines nachhaltigen Informationssicherheitsprozesses:

Mit dieser Vorgehensweise können wir Sie optimal begleiten in der Umsetzung von Informationssicherheitsanforderungen und -zielen. Sie schaffen eine nachhaltige Betrachtung Ihrer Unternehmenswerte und deren Absicherung. Wir bieten Ihnen ganz individuell abgestimmte Beratungsservices nach Ihren Anforderungen und Ihrem Budget. Beachten Sie hierzu auch unsere Security@Softline Workshops.