|
|
|
|
|
|
|
|
Implementierung von Sicherheitsrichtlinien, die kleineren Unternehmen gerecht werden
Im Gegensatz zur gängigen Meinung sind Sicherheitsrichtlinien kein Luxus, den sich nur große Unternehmen leisten können. Auch kleinere und mittlere Unternehmen können davon profitieren, solange es ihnen gelingt, dieses strategisch wichtige Dokument aufzusetzen und alle Beteiligten dafür zu gewinnen. Das Ziel: Die Darlegung der grundlegenden Schutzmaßnahmen und Nutzungsrichtlinien für das Informationssystem des Unternehmens in einer Weise, die die Einhaltung durch alle Beteiligten ermöglicht.
|
Kleinere und mittlere Unternehmen gehen in der Regel davon aus, dass Sicherheitsrichtlinien aufwendige Lösungen darstellen (sie müssen entwickelt werden), teuer sind (sie erfordern oft eine externe Überwachung) und keinen großen Vorteil bringen: Schließlich reicht beim Surfen im Internet, Lesen von E-Mails und Sichern des einzigen Datei-Servers ein bisschen gesunder Menschenverstand doch wohl aus, oder?
Weit gefehlt. In kleineren und mittleren Unternehmen dienen Sicherheitsrichtlinien sehr oft als Regelwerk und IT-Handbuch sowie als Grundlage für den einzelnen Benutzer, wenn es darum geht, die Sicherheit des Informationssystems zu gewährleisten. In extremen Fällen können sie sogar als Haftungsausschluss des Unternehmens dienen, falls es zu Missbrauch vonseiten eines Mitarbeiters kommt. All dies kann in Dokumenten mit jeweils ein paar Seiten erfasst werden.
Der erste Schritt zum Erstellen einer Sicherheitsrichtlinie besteht im Grunde darin... mehrere zu entwerfen! Es ist effizienter, mehrere kleine Dokumente (mit nicht mehr als zwei bis drei Seiten) zu erstellen, als alles in ein großes Dokument aufzunehmen, das keiner liest. Jedes dieser Dokumente könnte zum Beispiel einen bestimmten Aspekt eines IT-Tools beschreiben: tägliche Verwendung von Workstations, Backup kritischer Daten, Fernzugriff oder Virenschutz. Je nach den Aktivitäten eines Unternehmens, den Prioritäten und den tatsächlichen Gegebenheiten sollte die Geschäftsleitung zusammen mit der IT-Leitung entscheiden, auf welche Bereiche sich die Sicherheitsrichtlinien konzentrieren sollten: Wenn es um ein IT-Tool geht, in welchen Bereichen sind die Benutzer selbst für die Sicherheit verantwortlich?
Unternehmensrichtlinien für die Nutzung von IT-Tools
Als Nächstes müssen die Dokumente erstellt werden. Dabei handelt es sich um eine Liste von Anleitungen für die Verwendung von verschiedenen Computer-Tools durch unterschiedliche Gruppen von Mitarbeitern. Die erste zu definierende Richtlinie, und das gilt für alle Unternehmen ungeachtet ihrer Größe, bezieht sich auf die Unternehmensrichtlinien für die Nutzung von IT-Tools (Nutzungsrichtlinien). Sie legen fest, wofür ein Mitarbeiter seine Workstation nutzen darf, und behandeln Themen wie persönliche E-Mails, das Herunterladen von Bildern und Multimedia-Dateien vom Internet, die Installation privater Software auf der Workstation, die Besitzrechte im Bezug auf die verwendeten Informationen usw.
Hier müssen noch einmal die rechtlichen Aspekte für die Nutzung von IT-Tools (Copyright, Speichern pornographischen Materials, Verbot von Piraterie, Spamming, Belästigung durch E-Mail usw.) betont werden. Außerdem kann das Dokument auch die Nutzungsrichtlinien für die Telekommunikation festlegen: Wie steht es mit persönlichen Telefonaten? Was gilt für die Bereitstellung von Telefonleitungen bzw. die Abrechnung? Dieses Dokument muss besonders klar, präzise und benutzerfreundlich sein. Im Idealfall werden die Benutzer während der Entwicklung dieser Richtlinien befragt, um die spätere Akzeptanz zu gewährleisten.
Schriftliche Fassung des technischen Allgemeinwissens
In sehr kleinen Unternehmen sind die Nutzungsrichtlinien manchmal die einzigen geltenden Richtlinien. In diesem Fall können sie auch Themen wie die Kennwortauswahl (maximale Länge, regelmäßige Änderung usw.), die Verwendung von Virenschutz-Tools und das Backup von Arbeitsdokumenten umfassen. Größere Unternehmen haben Sicherheitsrichtlinien, die den Administratoren und anderen Verwaltern von IT-Equipment entgegenkommen. Auch hier ist das Aufstellen von Regeln genauso wichtig wie die Beschreibung der Arbeit im Allgemeinen: Welche Informationen sollten gesichert werden und wie oft? Wer ist zuständig für das Aktualisieren der Virenschutz-Software bzw. der Firewall-Konfiguration oder die Beziehung zum Administrator des Sicherheits-Equipments? Welche Berichte sollten erstellt werden, um das Maß an Sicherheit festzustellen? Wie oft? Welche Informationen gelten als vertraulich und wer kann darauf zugreifen? Wie sollten sie geschützt werden?
Zweck dieser Richtlinien ist es, die Verfahren (und manchmal sogar die Mittel) darzulegen, die zum Schutz des Unternehmensinformationssystems erforderlich sind. Manchmal geht es einfach darum, technisches Allgemeinwissen schriftlich festzuhalten: Es versteht sich eigentlich von selbst, wird aber besser verstanden, wenn es schiftlich festgehalten ist!
Weitere Informationen: Hier können Sie kostenlose Sicherheitsrichtlinien herunterladen:
http://www.sans.org/resources/policies/
(nur in Englisch verfügbar)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
