Hej allesammans!
Ich heiße Marcus Dahlén und komme aus Mjölby, einer sehr kleinen Stadt auf dem Land nicht weit vom Vätternsee und ca. 2 Stunden südlich von Stockholm in Schweden. Ich bin seit etwa 5 Jahren in Deutschland und seit ca. 3 Jahren bei Accenture in der Technologieberatung, spezialisiert auf Security. Mein Weg zu Accenture hier in Deutschland ging über einen Erasmusaustausch an der RWTH Aachen, wo ich im Austauschjahr und danach in meiner Diplomarbeit den Schwerpunkt IT-Sicherheit hatte. Für mich war es daher ziemlich naheliegend bei Accenture im Bereich IT-Sicherheit einzusteigen.
Was macht Accenture im Bereich Security? Accenture bietet “Security Services“ hauptsächlich in fünf verschiedenen Bereichen:
1. Security Risk Management - Assessing and managing security risks and vulnerabilities
2. Infrastructure Security - Securing the technology and network infrastructure
3. Business Continuity Management - Providing business continuity and disaster recovery
4.
5. Identity & Access Management - Managing identity and access
Ich wollte kurz ein Projekt im Bereich „Security Risk Management“ vorstellen, das ich letztes Jahr gemacht habe.
Auf dem Projekt ging es um Sicherheitsmanagement bei einem großen Automobilhersteller. Der Kunde hatte einen guten Sicherheitstand; viele Sicherheitspolicies (Information Security Policy, E-Mail Policy, etc.) waren vorhanden und viele IT-Sicherheitsmaßnahmen (Netzwerksicherheit, etc) implementiert.
In der Organisation fehlte aber ein einheitlicher Informationssicherheitsansatz. Sicherheit hat sich in den letzten Jahren von einer auf IT fokussierten IT-Sicherheit zu einer übergreifenden Informationssicherheit verändert. Informationssicherheit betrifft nicht nur die IT-Abteilung und berücksichtigt nicht nur die IT-Aspekte, sondern beschäftigt sich mit der Vertraulichkeit, Integrität und Verfügbarkeit von allen Informationen – egal ob elektronisch, magnetisch oder analog.
In der Organisation gab es keine übergreifende Koordination von Informationssicherheit, Datenschutz und physischer Sicherheit. Weiterhin gab es kein umfassendes IT-Risikomanagement. Eine Fragestellung für den Kunden war auch wie viel Sicherheit er eigentlich braucht bzw. wie viel Geld er in Sicherheitsmaßnahmen investieren muss.
Wir haben zwei Maßnahmen vorgeschlagen:
1) Sicherheitsorganisation: Es sollte eine dedizierte Sicherheitsorganisation etabliert werden, die sich um Risiken, Sicherheitsmaßnahmen, Qualitätskontrolle, etc. kümmert. Wir haben die Rollen “Information Security Officer” (ISO), “Data Protection Officer” (DPO), “Physical Security Officer” (PSO) und “Chief Security Officer” (CSO) etabliert. Dazu kam auch ein „Security Forum“, das sich übergreifend um Sicherheit kümmert und das von dem CSO geleitet wird.
2) Informationssicherheitsmanagementsystem (ISMS): Es sollte ein ISMS eingeführt werden, das Prozesse etabliert, um kontinuierlich Risiken zu identifizieren, zu bewerten und hieraus Maßnahmen umzusetzen. Weiterhin müssen die Risikoanalysen regelmäßig durchgeführt werden, um auch dadurch sicherzustellen, dass schon implementierte Maßnahmen erfolgreich sind. Ein ISMS ist deswegen eher ein kontinuierlicher Prozess als eine einmalige Implementierung. Das ISMS wird von der Sicherheitsorganisation mit Unterstützung von der Organisation durchgeführt. Wir haben hier ISO 27001 (Information Security Management System) und ISO 27002 (Code of Practice for ISMS) und auch BSI-Grundschutz-Kataloge und BSI-Standards (Bundesamt für Sicherheit in der Informationstechnik) verwendet. Ich werde in meinem nächsten Blog mehr über ISO 27001 und wie man die verwendet schreiben.
Durch strukturierte und regelmäßige Risikoanalysen und Planung von Sicherheitsmaßnahmen nach den ISO- und BSI-Standards ist es möglich Investitionssicherheit zu erreichen. Das heißt, dass man nicht zu wenig oder zu viel Geld für Sicherheitsmaßnahmen ausgibt. Mit einer funktionierenden Sicherheitsorganisation und einem ISMS ist eine Organisation in der Lage ihre Risiken kontinuierlich unter ökonomischen Aspekten zu steuern.
Wenn ihr irgendwelche Fragen zu IT-Sicherheit bei Accenture oder Camping und Kanu fahren in Schweden habt, stehe ich gerne zur Verfügung.
Euer Marcus Dahlén
Keine Kommentare:
Kommentar veröffentlichen