Der IT-Sicherheitsbeauftragte von BRANDMAUER IT - Teil 2

Aus meinem letzten Beitrag zum IT-Sicherheitsbeauftragten (Teil 1) wissen Sie bereits, worauf wir von BRANDMAUER IT besonderen Wert  legen. Um Ihnen ein noch besseres Bild von unserem IT-Sicherheitsbeauftragten zu vermitteln, will ich Ihnen nun berichten, wie unser IT-Sicherheitsbeauftragter in einem Kundenprojekt agiert hat. Die Anforderung des Kunden war eigentlich eine relativ einfache Aufgabenstellung: „Wir müssen für den Wirtschaftsprüfer eine IT-Dokumentation als Anlage zum Jahresabschluss bereitstellen!“ Die Sichtung des Anforderungskatalogs seitens des Wirtschaftsprüfers machte aber schnell deutlich, dass hier mehr verlangt wird als nur eine IT-Dokumentation. Schon die ersten Fragen konnte der Kunde nicht mit gutem Gewissen beantworten.

1. Gibt es eine Strategie bzw. Richtlinie für die Entwicklung der IT (IT Strategie)?
2. Ist die IT Strategie schriftlich festgehalten und wird sie regelmäßig aktualisiert?
3. Wird sie von der Geschäftsführung genehmigt?
4. Steht die Planung für die IT Strategie in Einklang mit der Geschäftsentwicklung/-tätigkeit sowie mit der Unternehmensstrategie? (Bsp.: Wird bei Wachstumszielen berücksichtigt, dass die IT-Infrastruktur ggf. angepasst werden muss?)
5. Werden sämtliche Berechtigungen in regelmäßigen Abständen überprüft und ggf. korrigiert?
6. Erscheinen die Zeitabstände zwischen den Überprüfungen in Anbetracht der Organisation des Mandanten (Anzahl der Benutzer, Fluktuation, Abteilungswechsel, Einsatz von Zeitarbeitskräften, etc.) angemessen?

Warum eine IT Strategie so wichtig für den Unternehmenserfolg ist, lesen Sie hier.

Schnell war klar, hier muss die IT-Organisation grundlegend überprüft und geändert werden, ansonsten läuft der Kunde Gefahr, kein uneingeschränktes Testat ausgestellt zu bekommen.

Lieber Leser – Frage an Sie: 

Die ersten Schritte unseres IT-Sicherheitsbeauftragten

Unser IT-Sicherheitsbeauftragter hat dann zuerst die bestehenden Regelungen und Richtlinien gesichtet und diese auf Ihre Vollständigkeit und deren Anwendung in der IT-Organisation hin analysiert. Leider waren auch einige der unternehmensinternen Richtlinien nicht mehr aktuell, sodass diese an die aktuellen Gegebenheiten angepasst werden mussten. Einige Richtlinien waren leider nur sehr rudimentär ausformuliert bzw. sie waren gar nicht existent. In all diesen Fällen hat unser IT-Sicherheitsbeauftragter die Aktualisierung und Neuerstellung der Unternehmensrichtlinien übernommen.

Weiterführende Gespräche: Der BRANDMAUER IT Security EDAF Prozess

Dabei hat er unseren BRANDMAUER IT Security EDAF Prozess (Entwurf-Diskussion-Anpassung-Finalisierung) zur Anwendung gebracht. Der EDAF Prozess sieht vor, einen Entwurf zur Diskussion zu stellen, danach die notwendigen Anpassungen zu machen und diesen anschließend zu finalisieren. Aus unserer Sicht ist das ein sehr effektiver Prozess, da er besonders fokussiert und zielgerichtet abläuft. Wilde, unstrukturierte Diskussionen und uneffektive Meetings sind nicht unser Ding.

Gemäß EDAF Prozess hat unser IT-Sicherheitsbeauftragter zunächst grob die Richtlinien ausformuliert, um diese dann in Abstimmung mit dem kaufmännischen Leiter und den IT-Verantwortlichen im Detail weiter abzustimmen und zu konkretisieren. Der so ausgearbeitete Entwurf wurde anschließend mit der Geschäftsleitung besprochen, finalisiert sowie den Mitarbeitern bekannt gemacht und vermittelt.

Ergebnis

Auf diese Art und Weise wurden folgende Richtlinien in dem Kundenprojekt überarbeitet bzw. neu erstellt:

1. Unternehmensstrategie in Bezug auf die IT-Themen
2. Interne IT Strategie
3. Richtlinie zur Informationssicherheit
4. Richtlinie zur PC-Benutzung, Internetnutzung und dem Umgang Emails
5. Richtlinie zu Mobilgeräten und Telearbeit
6. Richtlinie zur Klassifizierung von Informationen
7. Allgemeine Kennwortrichtlinie
8. Richtlinie zur Verschlüsselung
9. Richtlinie zur sicheren Datenhaltung
10. Richtlinie zum Änderungsmanagement
11. Richtlinie zur Datensicherung
12. Richtlinie zur Informationsübertragung
13. Richtlinie zu Fernzugriff und VPN-Verbindungen
14. Richtlinie zum Betrieb von Serversystemen und Cloud Anwendungen
15. Richtlinie zur Entwicklungssicherheit
16. Sicherheitsrichtlinie für Lieferanten
17. Richtlinie zur Erfassung eines Sicherheitsvorfalls/Störfall (Formular)
18. An- und Abschaltplan für IT-Infrastruktur
19. IT-Notfallplan: Internetausfall
20. IT-Notfallplan: Stromausfall
21. IT-Test- und Abnahme
22. Auftragsdatenverarbeitungsvertrag (ADV)

Lieber Leser – Frage an Sie:

Welche der oben genannten Richtlinien und Vorgaben existieren in Ihrem Unternehmen?

Zusätzliche Änderungen durch den IT-Sicherheitsbeauftragten

Damit einher gingen auch einige Änderung in den Betriebsprozessen der IT. So wurde zum Beispiel die Art und Weise, wie neue User und Berechtigungen vergeben wurden, komplett neu implementiert. Unser IT-Sicherheitsbeauftragter hat die Administratoren dabei unterstützt, ein Intranet-basierendes Webformular zu erstellen, welches den Prozess des User- und Berechtigungsmanagements neu regelt. Da wir in der Vergangenheit schon häufiger solche Konzepte für unsere Kunden erarbeitet haben, konnten wir große Teile des neuen Workflows direkt zur Verfügung stellen. Die Administratoren mussten dabei nur noch die Anpassung an die Gegebenheiten des Unternehmens vornehmen. Der Kunde profitiert nun doppelt: Zum einen ist der Prozess des User- und Berechtigungsmanagements nun im Intranet digital verfügbar und der lästige Papierprozess abgelöst. Zum anderen ist der Prozess nun so gestaltet, dass er den Anforderungen des Wirtschaftsprüfers in Bezug auf Transparenz und Nachvollziehbarkeit entspricht.

Informieren Sie sich jetzt: Was wollen Wirtschaftsprüfer über die IT Sicherheit und die Datensicherheit in Ihrem Unternehmen wissen?

Fazit und Feedback des Kunden

Wie Sie sehen also ein recht umfangreiches Projekt, das so von Anfang an gar nicht geplant war. Am Ende des fünfmonatigen Projektzeitraums waren aber alle Beteiligten richtig begeistert darüber, dass man das in dem Umfang umgesetzt hat. Nicht zuletzt deswegen, weil der Geschäftsführer ausdrücklich betont hat, dass dieser Prozess das Unternehmen positiv weiterentwickelt hat und er jetzt das Gefühl hat, organisatorisch und im täglichen IT-Betrieb besser aufgestellt zu sein. Als besonders hilfreich hat man die Impulse, Anregungen und Zuarbeit durch den externen IT-Sicherheitsbeauftragten empfunden. Dies wäre intern so nicht leistbar gewesen, ohne dass es an anderer Stelle zu Ressourcen-Engpässen gekommen wäre.

Konnten Sie die beiden Fragestellungen zu Ihrer Zufriedenheit beantworten? Falls nicht sollten Sie den Einsatz des BRANDMAUER IT-Sicherheitsbeauftragten in Betracht ziehen.