Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Der IT-Sicherheitsbeauftragte von BRANDMAUER IT (Teil 2) - Ein Bericht aus der Praxis

Volker Bentz | 30.05.2017 10:05:52 | Lesezeit ca. X Minuten

Aus meinem letzten Beitrag zum IT-Sicherheitsbeauftragten (Teil 1) wissen Sie bereits, worauf wir von BRANDMAUER IT besonderen Wert  legen. Um Ihnen ein noch besseres Bild von unserem IT-Sicherheitsbeauftragten zu vermitteln, will ich Ihnen nun berichten, wie unser IT-Sicherheitsbeauftragter in einem Kundenprojekt agiert hat. Die Anforderung des Kunden war eigentlich eine relativ einfache Aufgabenstellung: „Wir müssen für den Wirtschaftsprüfer eine IT-Dokumentation als Anlage zum Jahresabschluss bereitstellen!“ Die Sichtung des Anforderungskatalogs seitens des Wirtschaftsprüfers machte aber schnell deutlich, dass hier mehr verlangt wird als nur eine IT-Dokumentation. Schon die ersten Fragen konnte der Kunde nicht mit gutem Gewissen beantworten.

  1. Gibt es eine Strategie bzw. Richtlinie für die Entwicklung der IT (IT Strategie)?
  2. Ist die IT Strategie schriftlich festgehalten und wird sie regelmäßig aktualisiert?
  3. Wird sie von der Geschäftsführung genehmigt?
  4. Steht die Planung für die IT Strategie in Einklang mit der Geschäftsentwicklung/-tätigkeit sowie mit der Unternehmensstrategie? (Bsp.: Wird bei Wachstumszielen berücksichtigt, dass die IT-Infrastruktur ggf. angepasst werden muss?)
  5. Werden sämtliche Berechtigungen in regelmäßigen Abständen überprüft und ggf. korrigiert?
  6. Erscheinen die Zeitabstände zwischen den Überprüfungen in Anbetracht der Organisation des Mandanten (Anzahl der Benutzer, Fluktuation, Abteilungswechsel, Einsatz von Zeitarbeitskräften, etc.) angemessen?

Warum eine IT Strategie so wichtig für den Unternehmenserfolg ist, lesen Sie hier.

 

Schnell war klar, hier muss die IT-Organisation grundlegend überprüft und geändert werden, ansonsten läuft der Kunde Gefahr, kein uneingeschränktes Testat ausgestellt zu bekommen.

 

Lieber Leser – Frage an Sie: 

Könnten Sie die oben aufgeführten Fragen für Ihr Unternehmen zuverlässig beantworten?
 
 
Jetzt Blog abonnieren!

 

Die ersten Schritte unseres IT-Sicherheitsbeauftragten

Unser IT-Sicherheitsbeauftragter hat dann zuerst die bestehenden Regelungen und Richtlinien gesichtet und diese auf Ihre Vollständigkeit und deren Anwendung in der IT-Organisation hin analysiert. Leider waren auch einige der unternehmensinternen Richtlinien nicht mehr aktuell, sodass diese an die aktuellen Gegebenheiten angepasst werden mussten. Einige Richtlinien waren leider nur sehr rudimentär ausformuliert bzw. sie waren gar nicht existent. In all diesen Fällen hat unser IT-Sicherheitsbeauftragter die Aktualisierung und Neuerstellung der Unternehmensrichtlinien übernommen.

 

Weiterführende Gespräche: Der BRANDMAUER IT Security EDAF Prozess

Dabei hat er unseren BRANDMAUER IT Security EDAF Prozess (Entwurf-Diskussion-Anpassung-Finalisierung) zur Anwendung gebracht. Der EDAF Prozess sieht vor, einen Entwurf zur Diskussion zu stellen, danach die notwendigen Anpassungen zu machen und diesen anschließend zu finalisieren. Aus unserer Sicht ist das ein sehr effektiver Prozess, da er besonders fokussiert und zielgerichtet abläuft. Wilde, unstrukturierte Diskussionen und uneffektive Meetings sind nicht unser Ding.

Gemäß EDAF Prozess hat unser IT-Sicherheitsbeauftragter zunächst grob die Richtlinien ausformuliert, um diese dann in Abstimmung mit dem kaufmännischen Leiter und den IT-Verantwortlichen im Detail weiter abzustimmen und zu konkretisieren. Der so ausgearbeitete Entwurf wurde anschließend mit der Geschäftsleitung besprochen, finalisiert sowie den Mitarbeitern bekannt gemacht und vermittelt.

 

Ergebnis

Auf diese Art und Weise wurden folgende Richtlinien in dem Kundenprojekt überarbeitet bzw. neu erstellt:

  1. Unternehmensstrategie in Bezug auf die IT-Themen
  2. Interne IT Strategie
  3. Richtlinie zur Informationssicherheit
  4. Richtlinie zur PC-Benutzung, Internetnutzung und dem Umgang Emails
  5. Richtlinie zu Mobilgeräten und Telearbeit
  6. Richtlinie zur Klassifizierung von Informationen
  7. Allgemeine Kennwortrichtlinie
  8. Richtlinie zur Verschlüsselung
  9. Richtlinie zur sicheren Datenhaltung
  10. Richtlinie zum Änderungsmanagement
  11. Richtlinie zur Datensicherung
  12. Richtlinie zur Informationsübertragung
  13. Richtlinie zu Fernzugriff und VPN-Verbindungen
  14. Richtlinie zum Betrieb von Serversystemen und Cloud Anwendungen
  15. Richtlinie zur Entwicklungssicherheit
  16. Sicherheitsrichtlinie für Lieferanten
  17. Richtlinie zur Erfassung eines Sicherheitsvorfalls/Störfall (Formular)
  18. An- und Abschaltplan für IT-Infrastruktur
  19. IT-Notfallplan: Internetausfall
  20. IT-Notfallplan: Stromausfall
  21. IT-Test- und Abnahme
  22. Auftragsdatenverarbeitungsvertrag (ADV)

 

Lieber Leser – Frage an Sie:

Welche der oben genannten Richtlinien und Vorgaben existieren in Ihrem Unternehmen?

 

Zusätzliche Änderungen durch den IT-Sicherheitsbeauftragten

Damit einher gingen auch einige Änderung in den Betriebsprozessen der IT. So wurde zum Beispiel die Art und Weise, wie neue User und Berechtigungen vergeben wurden, komplett neu implementiert. Unser IT-Sicherheitsbeauftragter hat die Administratoren dabei unterstützt, ein Intranet-basierendes Webformular zu erstellen, welches den Prozess des User- und Berechtigungsmanagements neu regelt. Da wir in der Vergangenheit schon häufiger solche Konzepte für unsere Kunden erarbeitet haben, konnten wir große Teile des neuen Workflows direkt zur Verfügung stellen. Die Administratoren mussten dabei nur noch die Anpassung an die Gegebenheiten des Unternehmens vornehmen. Der Kunde profitiert nun doppelt: Zum einen ist der Prozess des User- und Berechtigungsmanagements nun im Intranet digital verfügbar und der lästige Papierprozess abgelöst. Zum anderen ist der Prozess nun so gestaltet, dass er den Anforderungen des Wirtschaftsprüfers in Bezug auf Transparenz und Nachvollziehbarkeit entspricht.

 

Informieren Sie sich jetzt: Was wollen Wirtschaftsprüfer über die IT Sicherheit und die Datensicherheit in Ihrem Unternehmen wissen?

 

Fazit und Feedback des Kunden

Wie Sie sehen also ein recht umfangreiches Projekt, das so von Anfang an gar nicht geplant war. Am Ende des fünfmonatigen Projektzeitraums waren aber alle Beteiligten richtig begeistert darüber, dass man das in dem Umfang umgesetzt hat. Nicht zuletzt deswegen, weil der Geschäftsführer ausdrücklich betont hat, dass dieser Prozess das Unternehmen positiv weiterentwickelt hat und er jetzt das Gefühl hat, organisatorisch und im täglichen IT-Betrieb besser aufgestellt zu sein. Als besonders hilfreich hat man die Impulse, Anregungen und Zuarbeit durch den externen IT-Sicherheitsbeauftragten empfunden. Dies wäre intern so nicht leistbar gewesen, ohne dass es an anderer Stelle zu Ressourcen-Engpässen gekommen wäre.

 

Konnten Sie die beiden Fragestellungen zu Ihrer Zufriedenheit beantworten? Falls nicht sollten Sie den Einsatz des BRANDMAUER IT-Sicherheitsbeauftragten in Betracht ziehen.

 

BRANDMAUER IT Sicherheitscheck

Themen: IT-Sicherheitsbeauftragter, IT Strategie

Autor: Volker Bentz

Volker Bentz ist seit 1989 im IT-Business tätig. Als Gründer und Gesellschafter prägt er seit über 25 Jahren die Geschicke der BRANDMAUER IT GmbH. Der IT-Experte berät, erstellt und implementiert IT-Lösungen für Unternehmen und Organisationen. Seine langjährigen Erfahrungen im Bereich des IT-Outsourcings und der IT Security machen Ihn zu einem Kenner der Thematik und ersten Ansprechpartner.

Telefon: (+49) 7272 92975 200
E-Mail: v.bentz@brandmauer.de