Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU
Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl von Informationen) oder Betrug mit Kreditkarten lesen wir fast täglich in der Zeitung. Schätzungen gehen davon aus, dass das Geschäft mit Cyber Crime mittlerweile ein Volumen von mehreren Mrd. Dollar jährlich erreicht hat. Was wir aus den Medien erfahren, ist nur die Spitze eines noch wachsenden Eisbergs. Investitionen in Informationssicherheit sind deshalb gut angelegt: Sie helfen Datenlecks rechtzeitig zu erkennen und Datendiebstahl oder Verlust zu verhindern, Ausfälle von Geräten und Systemen zu minimieren und falls es doch passiert, den Zeitbedarf bis zur Wiederherstellung eines geordneten Betriebes zu reduzieren. Wenn Sie in Ihrem Unternehmen mit sensiblen Daten arbeiten (Gesundheitswesen, Finanzwesen, öffentlicher Bereich aber auch Cloud Services), erwarten Ihre Kunden, dass die Daten ausreichend geschützt werden. Ein tadelloser Ruf was die Informationsverarbeitung anbelangt, ist hier Grundvoraussetzung für erfolgreiche Geschäftstätigkeit. Und wenn Ihr Unternehmen nicht zu diesen sensiblen Branchen gehört? Haben Sie für sich schon einmal die Rechnung gemacht, wie viele Tage Aufwand es kosten würde, wenn Sie Ihre Kundendatei, Ihre technischen Zeichnungen oder Rezepte wieder vollständig neu aufbauen müssten? Sind Firewall und Virenschutz nicht ausreichend? IT Security is 75% people and 25% technology. ISACA Firewall und Virenschutz sind ein Muss, als isolierte Massnahmen reichen sie nicht aus. Die Erfahrung zeigt, dass immer raffiniertere Methoden eingesetzt werden, um Lücken im Sicherheitsnetz einer Organisation auszunutzen. Es ist daher wichtig, dass man sich mit möglichen Bedrohungen und Risiken auseinandersetzt und daraus einen umfassenden Massnahmenplan ableitet. Ziel muss sein, ein ausgewogenes Konzept umzusetzen, das organisatorische, technische und personelle Massnahmen zu einem umfassenden Schutz verbindet. Mit dem hier dargelegten 10 Punkteplan haben Sie schon ein rechtes Stück des Weges hinter sich gebracht und wie Sie sehen werden sind die Menschen (Pläne, Prozesse, Regeln, Verhalten und Kultur) entscheidender als der Einsatz von Security Lösungen. 2
Es ist Zeit zu handeln Computer, Internet und Datenverkehr sind im heutigen Geschäftsumfeld unverzichtbar. Sie vereinfachen die Kommunikation mit den Kunden, helfen Aufträge zu generieren, die Buchhaltung zu führen und das Unternehmen zu lenken. Eine Verletzung der Datensicherheit schadet dem Geschäft und der Reputation. Daher muss jedes Unternehmen geeignete Sicherheitsvorkehrungen treffen. Wie der 10 Punkte Plan zeigt, sind dazu keine grossen finanziellen Ressourcen erforderlich. Mit wohlüberlegten organisatorischen Massnahmen und der Schaffung der notwendigen Sensibilität lässt sich schon Einiges erreichen. Handeln Sie jetzt! Investitionen in Informationssicherheit schützen vor unliebsamen Überraschungen, verbessern den Datenschutz und tragen zu mehr Stabilität und Kundenvertrauen bei. Bewährtes Vorgehen: Plan Grundsätze für Informationssicherheit und Datenschutz festlegen Ziele und Umfang definieren Methode für das Risikomanagement festlegen Unterziehen Sie die IT Vermögenswerte einem Risiko Assessment Do Risiken bewerten und Massnahmenplan umsetzen Regeln aufstellen und Verfahren festlegen Notfallplan erstellen Mitarbeitende informieren / ausbilden Check Umsetzung der Massnahmen überwachen Act Periodische Überprüfung durchführen und Verbesserungsmassahmen einleiten. 3
10 Punkte-Plan für angemessene Informationssicherheit 1 Zeigen Sie, dass Informationssicherheit für Sie wichtig ist Halten Sie schriftlich fest, zum Beispiel in Form einer Richtlinie oder eines schriftlichen Statements, dass Ihnen Sicherheit wichtig ist. Dass Sie alle wirtschaftlich und technisch sinnvollen Massnahmen ergreifen, um sensible Daten und kritische Geschäftsprozesse und Systeme angemessen zu schützen. Machen Sie deutlich, dass Sie dies auch von Ihren Mitarbeitenden erwarten. Informieren Sie Stakeholder und Mitarbeitende über Ihre Absichten. 2 Legen Sie Umfang und Ziele fest Als nächstes müssen Sie festlegen, welche gesetzlichen Regelungen für Ihr Unternehmen verbindlich sind, welchen branchenüblichen Regelungen Sie folgen und welche vertraglichen Verpflichtungen Sie bezüglich Datenschutz und sicherheit nachkommen müssen. Weiter müssen Sie Ziele in Bezug auf Verfügbarkeit und Integrität festlegen. Überlegen Sie sich, wie lange Einkauf, Produktion, Verkauf oder Marketing ohne IT arbeiten können und ab wann ein Ausfall von Systemen für die Kunden spürbar, ärgerlich und nicht mehr akzeptabel sein wird. Da Sie wahrscheinlich nicht alle Ziele gleichzeitig erreichen können, müssen Sie Prioritäten setzen. 3 Legen Sie eine Methode für das Risiko Management fest Vielleicht haben Sie sich bereits in Rahmen des Aufbaus eines IKS eingehend mit Risiko Management befasst. Dann können Sie höchstwahrscheinlich diese Methodik auch für die Identifizierung und Bewertung von IT Risiken anwenden. Wenn nicht, sollten Sie diesem Punkt ausreichend Zeit und Ressourcen bereitstellen. Denn eine lückenlose Identifikation von Schwachstellen und eine realistische Einschätzung des Schadenpotentials sind die Grundlage für die nachfolgende Massnahmenplanung. 4
4 Unterziehen Sie die Vermögenswerte einem Risiko Assessment Um die Risiken bestimmen zu können, müssen Sie die möglichen Bedrohungen und deren Auswirkungen kennen. Am besten erstellt man sich eine Liste der betrieblichen Vermögenswerte, ermittelt die Bedrohungen in Bezug auf Datenschutz und Datensicherheit. Daraus lassen sich dann die Risiken und deren Auswirkungen bestimmen und bewerten. Mögliche Risiken, die es zu bewerten gilt sind: Diebstahl von Geräten und Daten Technisch bedingter Ausfall wichtiger Geräte Verfahrens- und Bedienungsfehlerfehler Feuer, Wasser oder Blitz 5 Risiken managen und Massnahmen umsetzen Es gibt unterschiedliche Strategien, wie mit Risiken umzugehen ist. Entscheiden Sie sich für die geeignete Strategie und setzen Sie diese konsequent um. Erstellen Sie einen Massnahmenplan für die Minimierung des Schadenpotentials. Denken Sie auch an Vorbeugen ist besser als Heilen. Die Überwachung des Massnahmenplans ist Chefsache. Prüfen Sie regelmässig den Fortschritt bei der Umsetzung. 6 Regeln aufstellen und Verfahren festlegen Wenn Sie diesen Prozess durchlaufen haben, sind Ihre IT Risiken transparent. Sie können auf einer fundierten Grundlage entscheiden, welche Risiken Sie selber tragen und wo es sich lohnt, in Vorbeugemassnahmen zu investieren. Definieren Sie Verhaltensregeln und Verfahren, die festlegen wie Mitarbeitende sich in Bezug auf Informationssicherheit zu verhalten haben. Halten Sie diese Dos and Don t s schriftlich fest (z.b. als IT Knigge ): Dos Regelmässige Datensicherungen durchführen Starke Passwörter verwenden und regelmässig ändern Beim Verlassen des Arbeitsplatzes, Bildschirmschoner einschalten Regelmässig Programm-Updates durchführen Vorkehrungen für den worst case treffen Don ts Unverschlüsselte Kundendaten auf mobile Geräte kopieren Virenschutz und andere sicherheitstechnische Programme ausschalten Übermässige Verwendung von IT Ressourcen (Internet) für private Zwecke Nicht lizensierte Software verwenden 5
In grösseren Unternehmen oder bei sehr kritischen Prozessen sind diese sinnvollerweise schriftlich zu dokumentieren und die Verantwortlichkeiten sind klar zu regeln. (zum Beispiel Vergabe von Zugriffsrechten). Prozesse, die erfahrungsgemäss schriftlich festgehalten werden sollten sind: Regelung der Aufgaben und Verantwortlichkeit für Datensicherung, Aufbewahrung der Back-up Medien Verfahren für System Wiederherstellung Meldung, Klassifizierung und Behebung von Security Incidents Audits von Systemen und Prozessen 7 Notfallplan erstellen Ist Ihr Unternehmen auch auf plötzlich eintretende Ereignisse (Hochwasser, Feuer, Ausfall der Strom- / Datenversorgung, Ausfall von Geräten) gewappnet? Wenn Sie sich rechtzeitig mit diesen Themen auseinandersetzen, können Sie, wenn ein solches Ereignis eintritt, den Schaden für den Geschäftsbetrieb deutlich verringern und den Zeitbedarf für die Wiederherstellung eines geordneten Betriebs reduzieren. Legen Sie fest, wie schnell Ihre Systeme nach einem Ereignis wieder up and running sein müssen. Beträgt diese Frist mehrere Tage oder nur einige Stunden? Leiten Sie daraus ab, ob ein zweiter Standort notwendig ist und welche Geräte Sie dort vorhalten / in Bereitschaft haben müssen. Legen Sie sich einen Plan zurecht, in welcher Reihenfolge die Systeme wieder funktionieren müssen und welche Back-ups dazu notwendig sind. definieren Sie ein Krisenmanagement Team um im Ernstfall rasch und 8 situationsgerecht zu handeln: o Wer übernimmt die Leitung? o Wer kommuniziert mit Behörden? o Wer informiert die wichtigsten Kunden? o Wer ist für den Aufbau der Ausweichsysteme zuständig? Mitarbeitende informieren und ausbilden Die Mitarbeitenden sollten regelmässig über potentielle Risiken im Zusammenhang mit der Nutzung von IT Systemen informiert werden. Mitarbeitende müssen wissen, welche praktischen Massnahmen vorzukehren sind und welche Verantwortung sie dabei übernehmen müssen. Wichtig ist auch, dass das Sicherheitsbewusstsein durch regelmässige Briefings aufrechterhalten bleibt. Verhaltens-Knigge für Internet oder soziale Medien eignen sich für diese Zwecke gut. Sie können kostenlos im Internet bezogen werden. 6
9 Umsetzung der Massnahmen überwachen Stellen Sie sicher, dass die definierten Massnahmen tatsächlich umgesetzt werden. Die Umsetzung kostet für die Beteiligten Energie und Zeit, die sie vielleicht lieber für andere Ziele einsetzen möchten. Erfahrungsgemäss fallen in Zeiten höheren wirtschaftlichen Drucks Themen wie Sicherheit oder Datenschutz in der Prioritätenliste rasch zurück. Wenn das angepeilte Sicherheitsniveau erreicht werden soll, ist eine regelmässige Überprüfung des Fortschritts unerlässlich. Beispiele: Organisatorische Massnahmen o Clear Desk Policy o Sicherheitsrelevante Aufgaben im Einstellungs- und Austrittsprozess von Mitarbeitenden definieren o Regelmässige Wartung der Datenserver, Back-up Geräte und Kontrolle der Medien o SLA mit Lieferanten Physische Massnahme o Brandschutz in Räumlichkeiten für IT Infrastruktur. o Bauliche Massnahmen Technische Massnahmen 10 o Firewall und Virenschutz o USV-Anlage (Unterbrechungsfreie Stromversorgung) o Virtualisierte Hardware Periodische Überprüfung durchführen und Verbesserungsmassnahmen einleiten In der Hektik des Geschäftsalltags wird vielleicht nicht alles so angewandt wie ursprünglich beabsichtigt, Geschäftsprozesse ändern sich und damit vielleicht auch die Bedrohungen oder Gesetze wurden geändert und die Compliance muss neu überprüft werden. Daher ist es ratsam, periodisch die Wirksamkeit der getroffenen Massnahmen auf ihre Effektivität zu prüfen, um neue Schwachstellen aufzudecken und zu beheben. Quellen im Internet Praktische Hilfe zur Umsetzung eines ISMS (Informationssicherheits-Management System) findet man in einschlägigen Standards (ISO 27001, BSI Grundschutz, ISACA IT Risk). Auf deren Empfehlungen beruht auch diese Broschüre. Weitere interessante Informationen finden Sie auf folgenden Internetseiten: www.bsi.de/gshb/ www.melani.admin.ch/ www.isss.ch www.getsafeonline.org 7
Unser Dienstleistungsportfolio IT Security & Business Continuity Aufbau und Einführung von Information Security Management Systemen (ISMS) IT Risikoanalysen Business Continuity- & Notfallkonzepte IT Audits nach ISO 27001 IT Governance Design, Implementierung und Optimierung von IT Governance Systemen IT Check-up Projekt Portfolio Management Service Management IT Service Strategie Performance Optimierung & Kennzahlensysteme Evaluation von Service Providern & Softwarelösungen Management ad interim Temporäre Übernahme von IT Management Funktionen und Projektleitungen Januar 2016
Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU
Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl von Informationen) oder Betrug mit Kreditkarten lesen wir fast täglich in der Zeitung. Schätzungen gehen davon aus, dass das Geschäft mit Cyber Crime mittlerweile ein Volumen von mehreren Mrd. Dollar jährlich erreicht hat. Was wir aus den Medien erfahren, ist nur die Spitze eines noch wachsenden Eisbergs. Investitionen in Informationssicherheit sind deshalb gut angelegt: Sie helfen Datenlecks rechtzeitig zu erkennen und Datendiebstahl oder Verlust zu verhindern, Ausfälle von Geräten und Systemen zu minimieren und falls es doch passiert, den Zeitbedarf bis zur Wiederherstellung eines geordneten Betriebes zu reduzieren. Wenn Sie in Ihrem Unternehmen mit sensiblen Daten arbeiten (Gesundheitswesen, Finanzwesen, öffentlicher Bereich aber auch Cloud Services), erwarten Ihre Kunden, dass die Daten ausreichend geschützt werden. Ein tadelloser Ruf was die Informationsverarbeitung anbelangt, ist hier Grundvoraussetzung für erfolgreiche Geschäftstätigkeit. Und wenn Ihr Unternehmen nicht zu diesen sensiblen Branchen gehört? Haben Sie für sich schon einmal die Rechnung gemacht, wie viele Tage Aufwand es kosten würde, wenn Sie Ihre Kundendatei, Ihre technischen Zeichnungen oder Rezepte wieder vollständig neu aufbauen müssten? Sind Firewall und Virenschutz nicht ausreichend? IT Security is 75% people and 25% technology. ISACA Firewall und Virenschutz sind ein Muss, als isolierte Massnahmen reichen sie nicht aus. Die Erfahrung zeigt, dass immer raffiniertere Methoden eingesetzt werden, um Lücken im Sicherheitsnetz einer Organisation auszunutzen. Es ist daher wichtig, dass man sich mit möglichen Bedrohungen und Risiken auseinandersetzt und daraus einen umfassenden Massnahmenplan ableitet. Ziel muss sein, ein ausgewogenes Konzept umzusetzen, das organisatorische, technische und personelle Massnahmen zu einem umfassenden Schutz verbindet. Mit dem hier dargelegten 10 Punkteplan haben Sie schon ein rechtes Stück des Weges hinter sich gebracht und wie Sie sehen werden sind die Menschen (Pläne, Prozesse, Regeln, Verhalten und Kultur) entscheidender als der Einsatz von Security Lösungen. 2
Es ist Zeit zu handeln Computer, Internet und Datenverkehr sind im heutigen Geschäftsumfeld unverzichtbar. Sie vereinfachen die Kommunikation mit den Kunden, helfen Aufträge zu generieren, die Buchhaltung zu führen und das Unternehmen zu lenken. Eine Verletzung der Datensicherheit schadet dem Geschäft und der Reputation. Daher muss jedes Unternehmen geeignete Sicherheitsvorkehrungen treffen. Wie der 10 Punkte Plan zeigt, sind dazu keine grossen finanziellen Ressourcen erforderlich. Mit wohlüberlegten organisatorischen Massnahmen und der Schaffung der notwendigen Sensibilität lässt sich schon Einiges erreichen. Handeln Sie jetzt! Investitionen in Informationssicherheit schützen vor unliebsamen Überraschungen, verbessern den Datenschutz und tragen zu mehr Stabilität und Kundenvertrauen bei. Bewährtes Vorgehen: Plan Grundsätze für Informationssicherheit und Datenschutz festlegen Ziele und Umfang definieren Methode für das Risikomanagement festlegen Unterziehen Sie die IT Vermögenswerte einem Risiko Assessment Do Risiken bewerten und Massnahmenplan umsetzen Regeln aufstellen und Verfahren festlegen Notfallplan erstellen Mitarbeitende informieren / ausbilden Check Umsetzung der Massnahmen überwachen Act Periodische Überprüfung durchführen und Verbesserungsmassahmen einleiten. 3
10 Punkte-Plan für angemessene Informationssicherheit 1 Zeigen Sie, dass Informationssicherheit für Sie wichtig ist Halten Sie schriftlich fest, zum Beispiel in Form einer Richtlinie oder eines schriftlichen Statements, dass Ihnen Sicherheit wichtig ist. Dass Sie alle wirtschaftlich und technisch sinnvollen Massnahmen ergreifen, um sensible Daten und kritische Geschäftsprozesse und Systeme angemessen zu schützen. Machen Sie deutlich, dass Sie dies auch von Ihren Mitarbeitenden erwarten. Informieren Sie Stakeholder und Mitarbeitende über Ihre Absichten. 2 Legen Sie Umfang und Ziele fest Als nächstes müssen Sie festlegen, welche gesetzlichen Regelungen für Ihr Unternehmen verbindlich sind, welchen branchenüblichen Regelungen Sie folgen und welche vertraglichen Verpflichtungen Sie bezüglich Datenschutz und sicherheit nachkommen müssen. Weiter müssen Sie Ziele in Bezug auf Verfügbarkeit und Integrität festlegen. Überlegen Sie sich, wie lange Einkauf, Produktion, Verkauf oder Marketing ohne IT arbeiten können und ab wann ein Ausfall von Systemen für die Kunden spürbar, ärgerlich und nicht mehr akzeptabel sein wird. Da Sie wahrscheinlich nicht alle Ziele gleichzeitig erreichen können, müssen Sie Prioritäten setzen. 3 Legen Sie eine Methode für das Risiko Management fest Vielleicht haben Sie sich bereits in Rahmen des Aufbaus eines IKS eingehend mit Risiko Management befasst. Dann können Sie höchstwahrscheinlich diese Methodik auch für die Identifizierung und Bewertung von IT Risiken anwenden. Wenn nicht, sollten Sie diesem Punkt ausreichend Zeit und Ressourcen bereitstellen. Denn eine lückenlose Identifikation von Schwachstellen und eine realistische Einschätzung des Schadenpotentials sind die Grundlage für die nachfolgende Massnahmenplanung. 4
4 Unterziehen Sie die Vermögenswerte einem Risiko Assessment Um die Risiken bestimmen zu können, müssen Sie die möglichen Bedrohungen und deren Auswirkungen kennen. Am besten erstellt man sich eine Liste der betrieblichen Vermögenswerte, ermittelt die Bedrohungen in Bezug auf Datenschutz und Datensicherheit. Daraus lassen sich dann die Risiken und deren Auswirkungen bestimmen und bewerten. Mögliche Risiken, die es zu bewerten gilt sind: Diebstahl von Geräten und Daten Technisch bedingter Ausfall wichtiger Geräte Verfahrens- und Bedienungsfehlerfehler Feuer, Wasser oder Blitz 5 Risiken managen und Massnahmen umsetzen Es gibt unterschiedliche Strategien, wie mit Risiken umzugehen ist. Entscheiden Sie sich für die geeignete Strategie und setzen Sie diese konsequent um. Erstellen Sie einen Massnahmenplan für die Minimierung des Schadenpotentials. Denken Sie auch an Vorbeugen ist besser als Heilen. Die Überwachung des Massnahmenplans ist Chefsache. Prüfen Sie regelmässig den Fortschritt bei der Umsetzung. 6 Regeln aufstellen und Verfahren festlegen Wenn Sie diesen Prozess durchlaufen haben, sind Ihre IT Risiken transparent. Sie können auf einer fundierten Grundlage entscheiden, welche Risiken Sie selber tragen und wo es sich lohnt, in Vorbeugemassnahmen zu investieren. Definieren Sie Verhaltensregeln und Verfahren, die festlegen wie Mitarbeitende sich in Bezug auf Informationssicherheit zu verhalten haben. Halten Sie diese Dos and Don t s schriftlich fest (z.b. als IT Knigge ): Dos Regelmässige Datensicherungen durchführen Starke Passwörter verwenden und regelmässig ändern Beim Verlassen des Arbeitsplatzes, Bildschirmschoner einschalten Regelmässig Programm-Updates durchführen Vorkehrungen für den worst case treffen Don ts Unverschlüsselte Kundendaten auf mobile Geräte kopieren Virenschutz und andere sicherheitstechnische Programme ausschalten Übermässige Verwendung von IT Ressourcen (Internet) für private Zwecke Nicht lizensierte Software verwenden 5
In grösseren Unternehmen oder bei sehr kritischen Prozessen sind diese sinnvollerweise schriftlich zu dokumentieren und die Verantwortlichkeiten sind klar zu regeln. (zum Beispiel Vergabe von Zugriffsrechten). Prozesse, die erfahrungsgemäss schriftlich festgehalten werden sollten sind: Regelung der Aufgaben und Verantwortlichkeit für Datensicherung, Aufbewahrung der Back-up Medien Verfahren für System Wiederherstellung Meldung, Klassifizierung und Behebung von Security Incidents Audits von Systemen und Prozessen 7 Notfallplan erstellen Ist Ihr Unternehmen auch auf plötzlich eintretende Ereignisse (Hochwasser, Feuer, Ausfall der Strom- / Datenversorgung, Ausfall von Geräten) gewappnet? Wenn Sie sich rechtzeitig mit diesen Themen auseinandersetzen, können Sie, wenn ein solches Ereignis eintritt, den Schaden für den Geschäftsbetrieb deutlich verringern und den Zeitbedarf für die Wiederherstellung eines geordneten Betriebs reduzieren. Legen Sie fest, wie schnell Ihre Systeme nach einem Ereignis wieder up and running sein müssen. Beträgt diese Frist mehrere Tage oder nur einige Stunden? Leiten Sie daraus ab, ob ein zweiter Standort notwendig ist und welche Geräte Sie dort vorhalten / in Bereitschaft haben müssen. Legen Sie sich einen Plan zurecht, in welcher Reihenfolge die Systeme wieder funktionieren müssen und welche Back-ups dazu notwendig sind. definieren Sie ein Krisenmanagement Team um im Ernstfall rasch und 8 situationsgerecht zu handeln: o Wer übernimmt die Leitung? o Wer kommuniziert mit Behörden? o Wer informiert die wichtigsten Kunden? o Wer ist für den Aufbau der Ausweichsysteme zuständig? Mitarbeitende informieren und ausbilden Die Mitarbeitenden sollten regelmässig über potentielle Risiken im Zusammenhang mit der Nutzung von IT Systemen informiert werden. Mitarbeitende müssen wissen, welche praktischen Massnahmen vorzukehren sind und welche Verantwortung sie dabei übernehmen müssen. Wichtig ist auch, dass das Sicherheitsbewusstsein durch regelmässige Briefings aufrechterhalten bleibt. Verhaltens- Knigge für Internet oder soziale Medien eignen sich für diese Zwecke gut. Sie können kostenlos im Internet bezogen werden. 6
9 Umsetzung der Massnahmen überwachen Stellen Sie sicher, dass die definierten Massnahmen tatsächlich umgesetzt werden. Die Umsetzung kostet für die Beteiligten Energie und Zeit, die sie vielleicht lieber für andere Ziele einsetzen möchten. Erfahrungsgemäss fallen in Zeiten höheren wirtschaftlichen Drucks Themen wie Sicherheit oder Datenschutz in der Prioritätenliste rasch zurück. Wenn das angepeilte Sicherheitsniveau erreicht werden soll, ist eine regelmässige Überprüfung des Fortschritts unerlässlich. Beispiele: Organisatorische Massnahmen o Clear Desk Policy o Sicherheitsrelevante Aufgaben im Einstellungs- und Austrittsprozess von Mitarbeitenden definieren o Regelmässige Wartung der Datenserver, Back-up Geräte und Kontrolle der Medien o SLA mit Lieferanten Physische Massnahme o Brandschutz in Räumlichkeiten für IT Infrastruktur. o Bauliche Massnahmen Technische Massnahmen 10 o Firewall und Virenschutz o USV-Anlage (Unterbrechungsfreie Stromversorgung) o Virtualisierte Hardware Periodische Überprüfung durchführen und Verbesserungsmassnahmen einleiten In der Hektik des Geschäftsalltags wird vielleicht nicht alles so angewandt wie ursprünglich beabsichtigt, Geschäftsprozesse ändern sich und damit vielleicht auch die Bedrohungen oder Gesetze wurden geändert und die Compliance muss neu überprüft werden. Daher ist es ratsam, periodisch die Wirksamkeit der getroffenen Massnahmen auf ihre Effektivität zu prüfen, um neue Schwachstellen aufzudecken und zu beheben. Quellen im Internet Praktische Hilfe zur Umsetzung eines ISMS (Informationssicherheits-Management System) findet man in einschlägigen Standards (ISO 27001, BSI Grundschutz, ISACA IT Risk). Auf deren Empfehlungen beruht auch diese Broschüre. Weitere interessante Informationen finden Sie auf folgenden Internetseiten: www.bsi.de/gshb/ www.melani.admin.ch/ www.isss.ch www.getsafeonline.org 7
Unser Dienstleistungsportfolio IT Security & Business Continuity Aufbau und Einführung von Information Security Management Systemen (ISMS) IT Risikoanalysen Business Continuity- & Notfallkonzepte IT Audits nach ISO 27001 IT Governance Design, Implementierung und Optimierung von IT Governance Systemen IT Check-up Projekt Portfolio Management Service Management IT Service Strategie Performance Optimierung & Kennzahlensysteme Evaluation von Service Providern & Softwarelösungen Management ad interim Temporäre Übernahme von IT Management Funktionen und Projektleitungen Januar 2016
Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU
Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl von Informationen) oder Betrug mit Kreditkarten lesen wir fast täglich in der Zeitung. Schätzungen gehen davon aus, dass das Geschäft mit Cyber Crime mittlerweile ein Volumen von mehreren Mrd. Dollar jährlich erreicht hat. Was wir aus den Medien erfahren, ist nur die Spitze eines noch wachsenden Eisbergs. Investitionen in Informationssicherheit sind deshalb gut angelegt: Sie helfen Datenlecks rechtzeitig zu erkennen und Datendiebstahl oder Verlust zu verhindern, Ausfälle von Geräten und Systemen zu minimieren und falls es doch passiert, den Zeitbedarf bis zur Wiederherstellung eines geordneten Betriebes zu reduzieren. Wenn Sie in Ihrem Unternehmen mit sensiblen Daten arbeiten (Gesundheitswesen, Finanzwesen, öffentlicher Bereich aber auch Cloud Services), erwarten Ihre Kunden, dass die Daten ausreichend geschützt werden. Ein tadelloser Ruf was die Informationsverarbeitung anbelangt, ist hier Grundvoraussetzung für erfolgreiche Geschäftstätigkeit. Und wenn Ihr Unternehmen nicht zu diesen sensiblen Branchen gehört? Haben Sie für sich schon einmal die Rechnung gemacht, wie viele Tage Aufwand es kosten würde, wenn Sie Ihre Kundendatei, Ihre technischen Zeichnungen oder Rezepte wieder vollständig neu aufbauen müssten? Sind Firewall und Virenschutz nicht ausreichend? IT Security is 75% people and 25% technology. ISACA Firewall und Virenschutz sind ein Muss, als isolierte Massnahmen reichen sie nicht aus. Die Erfahrung zeigt, dass immer raffiniertere Methoden eingesetzt werden, um Lücken im Sicherheitsnetz einer Organisation auszunutzen. Es ist daher wichtig, dass man sich mit möglichen Bedrohungen und Risiken auseinandersetzt und daraus einen umfassenden Massnahmenplan ableitet. Ziel muss sein, ein ausgewogenes Konzept umzusetzen, das organisatorische, technische und personelle Massnahmen zu einem umfassenden Schutz verbindet. Mit dem hier dargelegten 10 Punkteplan haben Sie schon ein rechtes Stück des Weges hinter sich gebracht und wie Sie sehen werden sind die Menschen (Pläne, Prozesse, Regeln, Verhalten und Kultur) entscheidender als der Einsatz von Security Lösungen. 2
Es ist Zeit zu handeln Computer, Internet und Datenverkehr sind im heutigen Geschäftsumfeld unverzichtbar. Sie vereinfachen die Kommunikation mit den Kunden, helfen Aufträge zu generieren, die Buchhaltung zu führen und das Unternehmen zu lenken. Eine Verletzung der Datensicherheit schadet dem Geschäft und der Reputation. Daher muss jedes Unternehmen geeignete Sicherheitsvorkehrungen treffen. Wie der 10 Punkte Plan zeigt, sind dazu keine grossen finanziellen Ressourcen erforderlich. Mit wohlüberlegten organisatorischen Massnahmen und der Schaffung der notwendigen Sensibilität lässt sich schon Einiges erreichen. Handeln Sie jetzt! Investitionen in Informationssicherheit schützen vor unliebsamen Überraschungen, verbessern den Datenschutz und tragen zu mehr Stabilität und Kundenvertrauen bei. Bewährtes Vorgehen: Plan Grundsätze für Informationssicherheit und Datenschutz festlegen Ziele und Umfang definieren Methode für das Risikomanagement festlegen Unterziehen Sie die IT Vermögenswerte einem Risiko Assessment Do Risiken bewerten und Massnahmenplan umsetzen Regeln aufstellen und Verfahren festlegen Notfallplan erstellen Mitarbeitende informieren / ausbilden Check Umsetzung der Massnahmen überwachen Act Periodische Überprüfung durchführen und Verbesserungsmassahmen einleiten. 3
10 Punkte-Plan für angemessene Informationssicherheit 1 Zeigen Sie, dass Informationssicherheit für Sie wichtig ist Halten Sie schriftlich fest, zum Beispiel in Form einer Richtlinie oder eines schriftlichen Statements, dass Ihnen Sicherheit wichtig ist. Dass Sie alle wirtschaftlich und technisch sinnvollen Massnahmen ergreifen, um sensible Daten und kritische Geschäftsprozesse und Systeme angemessen zu schützen. Machen Sie deutlich, dass Sie dies auch von Ihren Mitarbeitenden erwarten. Informieren Sie Stakeholder und Mitarbeitende über Ihre Absichten. 2 Legen Sie Umfang und Ziele fest Als nächstes müssen Sie festlegen, welche gesetzlichen Regelungen für Ihr Unternehmen verbindlich sind, welchen branchenüblichen Regelungen Sie folgen und welche vertraglichen Verpflichtungen Sie bezüglich Datenschutz und sicherheit nachkommen müssen. Weiter müssen Sie Ziele in Bezug auf Verfügbarkeit und Integrität festlegen. Überlegen Sie sich, wie lange Einkauf, Produktion, Verkauf oder Marketing ohne IT arbeiten können und ab wann ein Ausfall von Systemen für die Kunden spürbar, ärgerlich und nicht mehr akzeptabel sein wird. Da Sie wahrscheinlich nicht alle Ziele gleichzeitig erreichen können, müssen Sie Prioritäten setzen. 3 Legen Sie eine Methode für das Risiko Management fest Vielleicht haben Sie sich bereits in Rahmen des Aufbaus eines IKS eingehend mit Risiko Management befasst. Dann können Sie höchstwahrscheinlich diese Methodik auch für die Identifizierung und Bewertung von IT Risiken anwenden. Wenn nicht, sollten Sie diesem Punkt ausreichend Zeit und Ressourcen bereitstellen. Denn eine lückenlose Identifikation von Schwachstellen und eine realistische Einschätzung des Schadenpotentials sind die Grundlage für die nachfolgende Massnahmenplanung. 4
4 Unterziehen Sie die Vermögenswerte einem Risiko Assessment Um die Risiken bestimmen zu können, müssen Sie die möglichen Bedrohungen und deren Auswirkungen kennen. Am besten erstellt man sich eine Liste der betrieblichen Vermögenswerte, ermittelt die Bedrohungen in Bezug auf Datenschutz und Datensicherheit. Daraus lassen sich dann die Risiken und deren Auswirkungen bestimmen und bewerten. Mögliche Risiken, die es zu bewerten gilt sind: Diebstahl von Geräten und Daten Technisch bedingter Ausfall wichtiger Geräte Verfahrens- und Bedienungsfehlerfehler Feuer, Wasser oder Blitz 5 Risiken managen und Massnahmen umsetzen Es gibt unterschiedliche Strategien, wie mit Risiken umzugehen ist. Entscheiden Sie sich für die geeignete Strategie und setzen Sie diese konsequent um. Erstellen Sie einen Massnahmenplan für die Minimierung des Schadenpotentials. Denken Sie auch an Vorbeugen ist besser als Heilen. Die Überwachung des Massnahmenplans ist Chefsache. Prüfen Sie regelmässig den Fortschritt bei der Umsetzung. 6 Regeln aufstellen und Verfahren festlegen Wenn Sie diesen Prozess durchlaufen haben, sind Ihre IT Risiken transparent. Sie können auf einer fundierten Grundlage entscheiden, welche Risiken Sie selber tragen und wo es sich lohnt, in Vorbeugemassnahmen zu investieren. Definieren Sie Verhaltensregeln und Verfahren, die festlegen wie Mitarbeitende sich in Bezug auf Informationssicherheit zu verhalten haben. Halten Sie diese Dos and Don t s schriftlich fest (z.b. als IT Knigge ): Dos Regelmässige Datensicherungen durchführen Starke Passwörter verwenden und regelmässig ändern Beim Verlassen des Arbeitsplatzes, Bildschirmschoner einschalten Regelmässig Programm-Updates durchführen Vorkehrungen für den worst case treffen Don ts Unverschlüsselte Kundendaten auf mobile Geräte kopieren Virenschutz und andere sicherheitstechnische Programme ausschalten Übermässige Verwendung von IT Ressourcen (Internet) für private Zwecke Nicht lizensierte Software verwenden 5
In grösseren Unternehmen oder bei sehr kritischen Prozessen sind diese sinnvollerweise schriftlich zu dokumentieren und die Verantwortlichkeiten sind klar zu regeln. (zum Beispiel Vergabe von Zugriffsrechten). Prozesse, die erfahrungsgemäss schriftlich festgehalten werden sollten sind: Regelung der Aufgaben und Verantwortlichkeit für Datensicherung, Aufbewahrung der Back-up Medien Verfahren für System Wiederherstellung Meldung, Klassifizierung und Behebung von Security Incidents Audits von Systemen und Prozessen 7 Notfallplan erstellen Ist Ihr Unternehmen auch auf plötzlich eintretende Ereignisse (Hochwasser, Feuer, Ausfall der Strom- / Datenversorgung, Ausfall von Geräten) gewappnet? Wenn Sie sich rechtzeitig mit diesen Themen auseinandersetzen, können Sie, wenn ein solches Ereignis eintritt, den Schaden für den Geschäftsbetrieb deutlich verringern und den Zeitbedarf für die Wiederherstellung eines geordneten Betriebs reduzieren. Legen Sie fest, wie schnell Ihre Systeme nach einem Ereignis wieder up and running sein müssen. Beträgt diese Frist mehrere Tage oder nur einige Stunden? Leiten Sie daraus ab, ob ein zweiter Standort notwendig ist und welche Geräte Sie dort vorhalten / in Bereitschaft haben müssen. Legen Sie sich einen Plan zurecht, in welcher Reihenfolge die Systeme wieder funktionieren müssen und welche Back-ups dazu notwendig sind. definieren Sie ein Krisenmanagement Team um im Ernstfall rasch und 8 situationsgerecht zu handeln: o Wer übernimmt die Leitung? o Wer kommuniziert mit Behörden? o Wer informiert die wichtigsten Kunden? o Wer ist für den Aufbau der Ausweichsysteme zuständig? Mitarbeitende informieren und ausbilden Die Mitarbeitenden sollten regelmässig über potentielle Risiken im Zusammenhang mit der Nutzung von IT Systemen informiert werden. Mitarbeitende müssen wissen, welche praktischen Massnahmen vorzukehren sind und welche Verantwortung sie dabei übernehmen müssen. Wichtig ist auch, dass das Sicherheitsbewusstsein durch regelmässige Briefings aufrechterhalten bleibt. Verhaltens- Knigge für Internet oder soziale Medien eignen sich für diese Zwecke gut. Sie können kostenlos im Internet bezogen werden. 6
9 Umsetzung der Massnahmen überwachen Stellen Sie sicher, dass die definierten Massnahmen tatsächlich umgesetzt werden. Die Umsetzung kostet für die Beteiligten Energie und Zeit, die sie vielleicht lieber für andere Ziele einsetzen möchten. Erfahrungsgemäss fallen in Zeiten höheren wirtschaftlichen Drucks Themen wie Sicherheit oder Datenschutz in der Prioritätenliste rasch zurück. Wenn das angepeilte Sicherheitsniveau erreicht werden soll, ist eine regelmässige Überprüfung des Fortschritts unerlässlich. Beispiele: Organisatorische Massnahmen o Clear Desk Policy o Sicherheitsrelevante Aufgaben im Einstellungs- und Austrittsprozess von Mitarbeitenden definieren o Regelmässige Wartung der Datenserver, Back-up Geräte und Kontrolle der Medien o SLA mit Lieferanten Physische Massnahme o Brandschutz in Räumlichkeiten für IT Infrastruktur. o Bauliche Massnahmen Technische Massnahmen 10 o Firewall und Virenschutz o USV-Anlage (Unterbrechungsfreie Stromversorgung) o Virtualisierte Hardware Periodische Überprüfung durchführen und Verbesserungsmassnahmen einleiten In der Hektik des Geschäftsalltags wird vielleicht nicht alles so angewandt wie ursprünglich beabsichtigt, Geschäftsprozesse ändern sich und damit vielleicht auch die Bedrohungen oder Gesetze wurden geändert und die Compliance muss neu überprüft werden. Daher ist es ratsam, periodisch die Wirksamkeit der getroffenen Massnahmen auf ihre Effektivität zu prüfen, um neue Schwachstellen aufzudecken und zu beheben. Quellen im Internet Praktische Hilfe zur Umsetzung eines ISMS (Informationssicherheits-Management System) findet man in einschlägigen Standards (ISO 27001, BSI Grundschutz, ISACA IT Risk). Auf deren Empfehlungen beruht auch diese Broschüre. Weitere interessante Informationen finden Sie auf folgenden Internetseiten: www.bsi.de/gshb/ www.melani.admin.ch/ www.isss.ch www.getsafeonline.org 7
Unser Dienstleistungsportfolio IT Security & Business Continuity Aufbau und Einführung von Information Security Management Systemen (ISMS) IT Risikoanalysen Business Continuity- & Notfallkonzepte IT Audits nach ISO 27001 IT Governance Design, Implementierung und Optimierung von IT Governance Systemen IT Check-up Projekt Portfolio Management Service Management IT Service Strategie Performance Optimierung & Kennzahlensysteme Evaluation von Service Providern & Softwarelösungen Management ad interim Temporäre Übernahme von IT Management Funktionen und Projektleitungen Januar 2016