Entstehung von Informationssicherheits-Managementsystemen
Informationen wurden in Unternehmen in den letzten 30 Jahren zunehmend auf elektronischen Medien und Systemen gespeichert, weg von Papier und klassischen Ordnern. Bei diesen Informationen handelt es sich um, Finanzdaten, Patientendaten, Korrespondenz, Personaldaten, Geschäftsleitungsinformationen, Produktionsverfahren, Lieferbeziehungen, Preiskalkulationen und vieles mehr. Durch die Vernetzung der Systeme über das Internet wurden diese Informationen auch von aussen zugänglich. Neue Technologien und Massnahmen wurden entwickelt, um die Sicherheit der Daten zu gewährleisten – das Thema Informationssicherheit rückte immer stärker in den Fokus.
Um die die vielfältigen Massnahmen für den Schutz von Informationen – auch nicht elektronischer – zu bündeln, wurde bereits 1995 ein Modell veröffentlicht, das die Einführung und den Betrieb eines Informationssicherheits-Managementsystems beschreibt.
Was versteht man unter Informationssicherheit?
Informationssicherheit hat die umfassende Zielsetzung, sämtliche Werte einer Unternehmung zu schützen. Dazu gehören Informationen aller Art und Form, das Wissen der Mitarbeitenden und alle technischen Installationen.
Alle Geschäftsprozesse einer Unternehmung sollten stets auch der Prüfung der Informationssicherheit unterzogen werden. Dabei stellen sich die folgenden Fragen:
Ist die Verfügbarkeit der Daten gewährleistet?
Ist die Vertraulichkeit der Daten gesichert?
Ist sichergestellt, dass die Daten vor unbefugter Veränderung sicher sind?
Zu beurteilen sind auch Bedrohungen auf Unternehmenswerte und die Eintrittswahrscheinlichkeit dieser Bedrohungen sowie die entsprechenden Massnahmen.
Voraussetzung dafür, dass eine solche Prüfung durchgeführt werden kann, ist die Dokumentation der Prozesse. Erst wenn diese Basis erstellt ist, ist sichergestellt, dass auch bei Prozessveränderungen allfällige neue oder geänderte Risiken sofort wahrgenommen werden können. Eine Analyse der vorhandenen offensichtlichen und versteckten Risiken ist eine sehr wichtige Aufgabe für das Management. Leider wird diese oft vernachlässigt. Viele Unternehmer konzentrieren sich vor allem auf die Entdeckung von Business-Chancen und deren Nutzung. Auch das ist natürlich eine wichtige Managementaufgabe. Ein nachlässiger Umgang mit Risiken generell und Risiken im Zusammenhang mit Unternehmens-Informationen kann jedoch Unternehmenswerte und somit das ganze Unternehmen aufs Spiel setzen.
Eine Studie des Center for Research in Information Systems der Universität Texas hat nachgewiesen, dass 50% aller Unternehmungen, die wichtige Daten verloren hatten, sich nie davon erholen konnten und in 90% aller Fälle bereits innerhalb von zwei Jahren ihren Betrieb schliessen mussten.
Aufbau eines Informationssicherheits-Managementsystems
Beim Aufbau eines Informationssicherheits-Managementsystems (ISMS) werden alle Prozesse der Informationssicherheit identifiziert. Das Unternehmen verschafft sich damit einen Überblick, welche Prozesse überhaupt einen Zusammenhang mit Informationen haben. Mit dem ISMS wird aufgezeigt, wie mit Informationen umgegangen wird. Von Vorteil ist es, wenn das Unternehmen bereits ein Qualitätsmanagementsystem eingeführt hat oder zusammen mit dem ISMS einführt. Die Prozesse der Informationssicherheit können elegant in das Qualitätsmanagementsystem integriert werden. Ein Vorteil ist auch, dass Querverweise auf z.B. Kern- und Wertschöpfungsprozesse, auf Führungsprozesse, Kundenprozesse, Personalprozesse und unterstützende Prozesse gemacht werden können.
Ein Informationssicherheits-Managementsystem ist für jedes Unternehmen sehr wichtig, ungeachtet der Branche oder Grösse. Für KMUs können sehr pragmatische und einfache Informationssicherheits-Managementsysteme erarbeitet werden.
Nachdem das ISMS aufgebaut ist, kann zur Überprüfung des Systems ein Fragenkatalog aus der ISO 27001 Norm verwendet werden. Mittels dieses Fragenkatalogs kann festgestellt werden, ob die Regelungen zur Informationssicherheit vollständig sind.
Nutzen der Informationssicherheit im Unternehmen
Vertrauen
Dank dokumentierter Regeln im Umgang mit Informationen, in Form eines Informationssicherheits-Managementsystems (ISMS) werden Vertrauen bei Kunden,Partnern, Lieferanten und auch Mitarbeitenden gestärkt.
Verfügbarkeit
Die Fehlerhäufigkeiten und Dauer von Störungen, wie z.B. nicht verfügbare Geschäftsanwendungen, können reduziert werden. Schäden können vermieden und Kosten reduziert werden.
Risikominimierung
Durch Prävention und die frühzeitige Erkennung von Schwachstellen können Risiken im Unternehmen gemindert werden.
Transparenz
Alle zu schützenden Werte eines Unternehmens sind bekannt, das bedeutet Transparenz für verantwortliche Gremien wie Geschäftsleitung und Verwaltungsrat.
Business Continuity
Das Unternehmen macht sich Gedanken zur Aufrechterhaltung des Geschäftsbetriebes (Business Continuity Management = BCM). Dadurch weisen IT-Systeme eine höhere Verfügbarkeit auf und sichern die Leistungserbringung des Unternehmens.
Agilität
Die Reaktionsbereitschaft auf Veränderungen im Markt wird durch ein ISMS erhöht, da die Veränderungen auf einer geregelten Basis (ISMS) erfolgen.
Früherkennung
Möglichkeit Bedrohungen auf die Unternehmenswerte werden frühzeitig erkannt und Massnahmen können ergriffen werden.
Erhöhung der Sicherheit
Das Sicherheitsbewusstsein bei den Mitarbeitern wird erhöht. Gefahren werden früher erkannt und grössere Schäden vermieden.Sicherheit als integraler Bestandteil der Geschäftsprozesse lässt die Verantwortlichen ruhiger schlafen.
Marktvorteil
Ein Unternehmen mit einem ISMS zeigt auf, dass es sich zu vielen Themen im Umgang mit Informationen Gedanken gemacht und sich Regeln auferlegt hat. Das ist heute noch Marktvorteil, künftig im Rahmen der Compliance ein Muss.
Fazit
Unternehmensinformationen (Daten), welche heute zu einem grossen Prozentsatz in elektronischer Form vorhanden sind, sollten geschützt werden. Die Informationen sollten immer verfügbar sein, die Vertraulichkeit muss gewährleistet sein und die Informationen dürfen nicht unbefugt verändert werden können.
Ein Informationssicherheits-Managementsystem hilft dabei, dass alle Geschäftsprozesse einer Unternehmung in Bezug auf Informationssicherheit überprüft werden. Die Überprüfung des Systems mittels Fragenkatalog hilft, dass nichts vergessen wurde und die Restrisiken kalkulierbar sind.
Das Vertrauen in das Unternehmen wird gestärkt. Die Werte des Unternehmens sind transparent, Schwachstellen werden frühzeitig erkannt. Veränderungen werden auf einer soliden Basis vorgenommen und die Regelungen zur Aufrechterhaltung des Geschäftsbetriebes (BCM) lassen sowohl die Geschäftsführung als auch das Kaderpersonal ruhiger schlafen.