In der digitalen Welt gehört „Information Security Management“ zu den besten Systemen
Wichtig, dringend, leistungsfähig, wiederverwendbar
Die Eigenschaften der bedeutenden Systeme
Einerseits wegen Cybercrime
Wer sicher sein möchte, dass nichts passiert, managt die Risiken systematisch
Andererseits, weil man dieses Management System für viele Zwecke brauchen kann:
- Für DSGVO und die „technischen und organisatorischen Maßnahmen“
- Für den Einsatz von künstlicher Intelligenz nach dem EU AI Act
- Für die EU NIS-Richtlinie und das nationale NIS-Gesetz
- Für Zusammenarbeit mit nach Security Norm ISO 27000 zertifizierten Businesses
Immer hilft das Risiko Management (idealerweise um ein Chancen Management erweitert), immer hilft uns die systematische erklärbare Angemessenheit unserer Maßnahmen
Ein Management System mit großer Synergie
„Wenn es leicht gehen soll, wenn alle vom gleichen reden sollen, wenn es international klar sein soll, nimm einen Standard“
Helmut Karas, langjähriger Chief Security Officer
Security einfach managen?
Wir zeigen Ihnen, wie das geht.
Sicherheit ist kein Hexenwerk. Sie leben das jeden Tag. Intuitiv. In Ihrer Wohnung, Ihrem Haus. Mit Ihrer Familie. Mit Ihrem Fahrzeug.
Weil Sie wissen, welche Werte Sie besitzen. Weil Ihnen bewusst ist, was zu tun ist. Weil Sie wissen, gegen welche Bedrohungen Sie Maßnahmen haben. Weil Sie wissen, welche Risiken Sie wie handhaben. Weil Sie wissen, was zu tun ist, wenn ein Unfall passiert.
Information Security funktioniert auch so.
Mit dem Bewusstsein, dass es Gefahren gibt, organisiert man Know-how im Unternehmen (was wichtig ist, was versichert ist, was zb. bei Passworten Sinn macht), hat Prävention implementiert (Regeln und Zuständigkeiten, Antivirus und Backups…), überprüft periodisch, ob alles sinnvoll ist und hat Überlegungen zum Umgang mit unerwünschten Ergebnissen (zb. Helpdesk).
Die 6 Perspektiven, mit denen wir auch unseren Kindern beibringen, wie sie in der Diskothek auf sich aufpassen oder mit Interrail durch Europa fahren können:
- Bewusstsein (gegen Fehleinschätzungen)
- Know-how (zu Ihren Werten, relevanten Bedrohungen, Umgang mit Risiken, Maßnahmen)
- Prävention (Umsetzung angemessener technischer und organisatorischer Maßnahmen)
- Assessments (systematische Überprüfungen, um Anpassungen vornehmen zu können)
- Compliance (alle Maßnahmen, um Ihre und die Rechte aller Beteiligten zu sichern)
- Vorfall/Notfall/Kontinuitäts/Krisen-Management (die Organisation für das Unerwünschte)
Wir demonstrieren und erzählen Ihnen, wie Sie und Ihr Team vieles davon bereits intuitiv richtig machen. Wir helfen Ihnen, die Fehler anderer Unternehmen zu verstehen und wie Sie diese vermeiden können.
Wir haben die Beispiele und die Erfahrung, wie man diese 6 Aspekte sehr verständlich schlank organisiert.
Die Betonung liegt auf schlank.
Werte, Bedrohungen, Risiko, Maßnahmen
Wir zeigen Ihnen schon zu Beginn, wie einfach man diese Begriffe strukturieren kann.
Wir zeigen Ihrem Projektteam zuerst hilfreiche Kategorien. So entsteht Orientierung. So entsteht im Team das gute Gefühl, dass das Management von Sicherheit machbar und absolut verständlich ist.
ISO 27000: Die Norm
Wir nutzen die ISO 27001 / ISO 27002 in den Fassungen von 2013/2017 und der aktuellen Version von 2022, um Ihnen zuerst bei der Struktur für Ihre Ist-Analyse zu helfen.
Die Controls beider Versionen geben Halt beim Beschreiben der internen Systematik und lassen sich mit hilfreichen Beispielen erfahrungsgemäß leicht anwenden.
Wer schon mit den Controls der 2013/2017 vertraut ist, bekommt mit dem Umstieg auf die Version 2022 eine modernere Struktur. Die Summe der Kategorien (nun Control-Typen genannt) und Controls ist weniger geworden.
Statt der 14 Control-Typen der 2013/2017er sind es nun in der 2022er nur noch 4:
Organisation
Menschen
Physische Sicherheit
Technologische Sicherheit
Statt 114 Controls sind es jetzt nur mehr 93.
Darin enthalten sind 11 neue Controls, die nach 10-jähriger Erfahrung ergänzt wurden. Cloud, Datenschutz, sichere Software-Entwicklung, Business Continuity sind nun besser findbar.
An der Systematik hat sich aber nichts Wesentliches geändert. Wer bisher schon mit der Norm gearbeitet hat, wird alles Gute beibehalten. Für Neu-EinsteigerInnen in das Thema ISMS ist die neue Struktur einfacher.
Um die Controls zu erarbeiten, bekommt Ihr Team sehr einfache Leitfäden. Einfachheit ist ein wesentlicher Schlüssel, um mit einem guten Gefühl voranzukommen.
Mit den Controls werden Sie alle Ihre vorhandenen Praktiken und Überlegungen einordnen können.
Für alle Strukturen, die Sie vielleicht noch nicht haben, bieten wir Ihnen zusätzlich die schlanken Lösungen eines erfahrenen Security Officers, dem es besonders wichtig war, seine eigene Zeit und die Zeit aller Mitwirkenden zu schonen.
Sie entscheiden, was Ihrem Team hilfreich ist.
Systematik ermöglicht Zertifizierung
Wer nach ISO 27000 arbeitet, hat einen großen Schritt der Vereinfachung getan. Mit den oben erwähnten Anwendungsfällen von Datenschutz über NIS bis AI werden sie mit dem ISMS eine großartige Synergie erleben.
Diese Synergie bedeutet Entlastung und Gewissheit, alles berücksichtig zu haben.
Wir empfehlen Ihnen, Ihr System zu errichten, Ihren Kalender für die periodischen Maßnahmen zu erstellen, schlanke Protokolle zu Maßnahmen zu erstellen und Ihre Erfahrungen zum Verbessern die gelebte Praxis Ihres ISMS zu dokumentieren.
Mit praktischen Erfahrungen und Nachweisen kommt eine Zertifizierung deutlich günstiger.
Wenn Sie wissen wollen, wie so ein Projekt für Ihr Team aussehen würde, melden Sie sich.