Österreich

Zielorientiertes ISMS:
Mitarbeiterziele aus unternehmensweiten Sicherheitszielen ableiten

 

Good Practices: Kommentar von Univ.-Assistentin und CIS-Auditorin Dr. techn. Margareth Stoll


stoll(Juni 2012) - Durch die zunehmende Dynamik und Komplexität unserer Gesellschaft wurde Informationssicherheit zu einem wesentlichen Erfolgsfaktor moderner Unternehmen. Laut einer Studie von PricewaterhouseCoopers berichteten 92% der Großunternehmen von Sicherheitsvorfällen in den vergangenen Jahren mit durchschnittlichen Kosten von 330.000 bis 820.000 Euro für die größten Ereignisse. 72% der Befragten einer jüngsten Ernst & Young-Studie erwarten ein Anwachsen externer Sicherheitsbedrohungen in den nächsten Jahren. Daneben können auch physische und technische Bedrohungen, sowie menschliche Fehler, Betrug, Sabotage, Spionage, u.a. auftreten. Gleichzeitig stellen Investoren, Kunden, Geschäftspartner und Gesetze vielfältige Sicherheitsanforderungen. Werden diese nicht erfüllt, so kann das zu Vertrauensverlust bis hin zu zivil- und strafrechtlichen Folgen führen.

Klare Visionen vermitteln
Informationssicherheit wurde lange als technische und organisatorische Herausforderung zur Risikovermeidung und Rechtskonformität gesehen. Zur Bewältigung dieser vielfältigen Anforderungen sollte Informationssicherheit jedoch verstärkt ganzheitlich von allen Mitarbeitern und Bereichen gemeinsam umgesetzt werden. Dieser ganzheitliche Ansatz wird auch von der ISO 27001 gefordert. Dabei beeinflusst hinreichendes Sicherheitsbewusstsein ganz essentiell korrektes menschliches Verhalten. „Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Werkzeuge vorzubereiten und Aufgaben zu vergeben. Sondern lehre sie die Sehnsucht nach dem endlosen Meer“, empfahl einst Antoine de Saint-Exupéry. Demgemäß lassen sich einprägsame, klar verständliche Sicherheitsziele wirkungsvoller kommunizieren, als zu umfangreiche Richtlinien und Anordnungen.
 
Individuelle Ziele für alle Beteiligten
Bei dem bewährten Ansatz des „Zielorientierten Informationssicherheitsmanagements“ werden zuerst marktorientierte, unternehmensweite Sicherheitsziele entwickelt. Dabei werden neben den Marktanforderungen auch technische und organisatorische Aspekte (Erfolgsfaktoren, dartsProzessorientierung, Ressourcen, Fähigkeiten, u.a.), sowie die Sicherheitskultur berücksichtigt. Im nächsten Schritt werden spezifische Ziele für alle Geschäftsprozesse und anschließend individuelle Ziele für alle Beteiligten – Mitarbeiter, Lieferanten und Partner - entsprechend ihrer Rollen und Aufgaben in den Prozessen sowie gemäß ihres Wissensstandes abgeleitet. Das bedeutet, dass für jede Gruppe ein maßgeschneidertes Bündel von Zielen erstellt wird. So erhalten auch wichtige Basisdienste, wie Stromversorgung und Klimatechnik eigens definierte Ziele, wie Verfügbarkeit oder garantierte Mindestleistung.
 
Strategisches Sicherheitsdenken der Mitarbeiter
Die Ziele technischer Mitarbeiter werden dabei entsprechend dem IT-Service-Baum laut ISO 20000 bzw. ITIL nach unten weiter gegeben. So erhalten alle Organisationseinheiten, Partner und relevanten Funktionen (Administratoren, Netzdienste, Infrastrukturdienste, Archivdienste, u.a.) eigene und klar verständliche Ziele für ihre jeweiligen Aufgaben. Diese unterstützen aber auch gleichzeitig kohärent und systematisch die gemeinsamen strategischen Ziele. Damit wird Informationssicherheit Teil aller Zielgespräche, Lieferantenverträge und der laufenden Unternehmenssteuerung. Begeistert berichtet der IS-Manager eines mittelständischen Unternehmens, wo dieser zielorientierte Ansatz erfolgreich umgesetzt wurde: „Durch klare, funktionsspezifische Ziele entwickelten unsere Mitarbeiter ein ausgeprägtes strategisches Sicherheitsdenken. Sie sehen Informationssicherheit nun als alltägliches Selbstverständnis zur nachhaltigen Absicherung des Unternehmenserfolgs und ihres Arbeitsplatzes. Daher übernehmen sie aktiv Verantwortung und agieren pro-aktiv, um die festgelegten Ziele zu erreichen“. Weiters erklärt er: „Alle Maßnahmen und Investitionen werden kohärent und effektiv zur Erfüllung unternehmensweiter strategischer Sicherheitsziele eingesetzt."

Empfänger-orientierte Berichte
Empfänger-orientierte Sicherheitsberichte zu den festgelegten Zielen unterstützen die Steuerung der Zielerreichung, dokumentieren die Einhaltung aller Verpflichtungen und kommunizieren den Nutzen der Informationssicherheit – auf allen Ebenen des Unternehmens. Damit wird Informationssicherheit als Mehrwert für Kunden und Unternehmen von allen Beteiligten gemeinsam effizient und effektiv umgesetzt und auch so wahrgenommen.ziel grafik

Integraler Bestandteil der Unternehmenskultur
Zur Förderung des Sicherheitsbewusstseins aller Mitarbeiter sollte Informationssicherheit laut einer Studie der finnischen Universität Oulu (MIS Quarterly 34/4) auch verstärkt in die laufende Unternehmenskommunikation und den Arbeitsalltag integriert werden. Praktische, einprägsame Schulungen, bei Bedarf schnell auffindbare, klar verständliche, aktuelle und einfach zu handhabende Richtlinien und eine laufende Sensibilisierung fördern das Sicherheitsbewusstsein der Mitarbeiter zusätzlich. Insbesondere der sichtbare Einsatz der obersten Leitung und des gesamten Managements fördert gemäß verschiedenen Studien und Projekterfahrungen eine angemessene Sicherheitskultur. Wird Informationssicherheit hinreichend bei Managemententscheidungen berücksichtigt und aktiv vorgelebt, so kann sie integraler Bestandteil der Unternehmenskultur werden.
 

Dr.techn. Margareth Stoll ist Beraterin im Bereich Informationssicherheit und IT-Service Management, sowie Stiftungsassistentin QE LaB an der Universität Innsbruck (gefördert durch die Standortagentur Tirol). Darüber hinaus fungiert sie als CIS-Auditorin für ISO 27001 und ISO 20000. 
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB