Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 5
2.Zusammenfassung
ОглавлениеDer Untertitel dieses Buchs lautet: „Praxisorientierte Prinzipien zu allen Fragen eines profitablen und effizienten Security-Managements für Unternehmen“. Drei Teile liefern hierzu die Antworten:
1. Teil 1 - Strategische Planung, Entwicklung und Umsetzung
Dieser Part behandelt die fundamentalen Säulen der Informationssicherheit (Bewusstseinsbildung, Ressourcen und Prozesse) und deren Zusammenwirken. Essentielle Themen sind:
1 Warum Security-Management? Der Leser erfährt, wieso ausreichende Schutzmaßnahmen unverzichtbare Bedeutung für jedes Unternehmen haben. Er wird darauf hingewiesen, das höchste Gefahrenpotenzial liegt nicht im Bereich der Technik, sondern bei den Menschen. Daher ist es unerlässlich, das Bewusstsein hinsichtlich Sicherheitsdenken aller an Geschäftsprozessen teilhabenden Personen zu fördern. Die Betroffenen müssen über den Wert von Informationen und sicheren Umgang damit Bescheid wissen und dementsprechend handeln.
1 Wie beginnen? Sicherheit ist zu einem hohen Grad subjektiv, schwer quantifizierbar und von individuellen Anforderungen abhängig. In welcher Art und Weise Voraussetzungen geschaffen werden, um eine praktikable Sicherheitspolitik festzusetzen, ist weiterer Bestandteil des Kapitels „Säule 1 - Bewusstseinsbildung“.
1 Mit welchem Aufwand ist zu rechnen? Was bedarf es an Aufbietungen finanzieller und personeller Natur?
1 Können bereits vorhandene Strukturen effizient genutzt und ausgebaut werden, um ein gutes und kostengünstiges Maß an Schutz zu erzielen? Praktikablen Einsatz von Personal und Geldmitteln demonstriert das Kapitel „Säule 2 - Ressourcen“.
1 Welche Bedrohungen existieren? Sind wahrscheinliche Risiken vorhanden? Wie lassen sich mögliche Schadenskosten ermitteln und Gefahrenlagen übersichtlich darstellen? Mittels Vereinfachungen der Analyseprozesse und Fokussierung auf wesentliche Gefährdungen wird schnell, einfach und kostengünstig ein hoher Wirkungsgrad erreicht.
1 Wie weiter vorgehen? Aufgrund der Analyseergebnisse werden ein Aktionsplan festgelegt und Maßnahmen durchgeführt. Nach Etablierung des gewünschten Sicherheitslevels ist ständige Anpassung an Änderungen oder Weiterentwicklungen der Technologien, Infrastrukturen und Umwelt unerlässlich. Das Kapitel „Säule 3 - Prozesse“ beschreibt alle Elemente zur Schaffung und Weiterführung effektiven Security-Managements.
1 Wie gut wird geschützt? Wie wirtschaftlich arbeitet dieser Bereich? Wo kann optimiert werden? Wie erziele ich höchste Effektivität und Effizienz? Hier setzt der Abschnitt „Prozessoptimierung/Controlling“ an. Viele Firmen zwingt die momentane Wirtschaftslage, kurzfristigen Return-on-Investment (ROI) zu suchen. Die Kunst ist, einen betriebswirtschaftlich idealen Einsatz von Sicherheitsmitteln zu finden. Zuviel ist Geldverschwendung, zu wenig kann die Existenz der Firma gefährden.
Direkter kausaler Bezug zwischen Security-Investitionen und dem daraus resultierenden unternehmerischen Erfolg ist naturgemäß schwer möglich. Der Beitrag von Sicherheitsmaßnahmen zur Gewinnsteigerung resultiert nicht geradlinig. Vielmehr erfolgt er über den Umweg als Hilfsmittel zur Prozessoptimierung und zur Unterstützung strategischer Zielsetzungen. Diese Ungewissheit verlangt Urteilskraft. Verschiedene flexible, bewährte und elementare Werkzeuge werden vorgestellt, die sich beliebig abwandeln und kombinieren lassen. Sie liefern alle benötigten Informationen und helfen der Entscheidungsfindung. Für jede Methode erfolgt eine kurze Charakteristik verbunden mit einer Aufstellung der Vor- und Nachteile. Auf Basis dieser Beschreibungen kann sich der Leser ein Bild von Arbeitsweise und Einsatzmöglichkeit des InfSec-Controllings bilden.
2. Teil 2 - Operativer Bereich
Der zweite Teil ist auf den Sicherheitsbeauftragten fokussiert. Hier geht es um konkrete Aktionen, um alltägliche Realität. Folgende Fragen werden behandelt:
1 Welche Maßnahmen decken den Sicherheitsbedarf eines Unternehmens in hohem Maß kostengünstig ab? Eine Reihe von universellen Aktionen sind imstande, diese Aufgabe zu lösen.
1 Ist es überhaupt notwendig, ein sündteures System zu kaufen, oder kann das gleiche Geld - anderweitig eingesetzt - viel mehr Schutz zuwege bringen? In der Praxis wird leider sehr oft mit Kanonen auf Spatzen geschossen. Hilfe liefert die Anwendung eines wirtschaftlichen Grundprinzips. Es erlaubt, mit nur 20 % Einsatz der Mittel 80 % an möglicher Sicherheit zu erreichen. Beschriebene Lösungen sind vielseitig verwendbar und müssen nicht unbedingt teuer sein.
1 Wie sieht das Tagesgeschäft des Security-Managements aus? Im Abschnitt „Fallbeispiele“ sind fiktive sicherheitskritische Situationen dargestellt, die jederzeit in jedem Unternehmen durchaus auftreten können. Verschiedene Lösungsoptionen, alle den vorangehenden Abschnitten entnommen, werden offeriert. Auf diese Weise erlangt der Leser ein realistisches Bild über die Anwendung des Geschriebenen.
3. Teil 3 – Zukunftsperspektiven
Wie sieht die Zukunft des Themas InfSec aus? Abschließend erfolgt ein kurzer Ausblick, denn jeder erfolgreiche Manager weiß: Ein profitables Unternehmen ist dem Markt immer einen Schritt voraus.