About - Contact - Terms of Use - Privacy Policy
© WYSIWYG Web Builder 2019. All Rights Reserved.

Sind Sie neu in der Rolles des ISB?


Wenn Sie von der Vielfalt der Aufgaben als ISB (Informationssicherheitsbeauftragter) fasziniert sind, aber auch die Gefahr sehen, überfordert zu sein, dann gibt es eine Lösung.

IT- oder Informationssicherheit

In der Rolle des ISB geht es auch um IT-Sicherheit, aber nicht nur. Es geht um die Bewertung von Risiken, aber nicht nur. Es geht um die Unterstützung und Absicherung der kritischen Unternehmensprozesse und diese finden zu weiten Teilen außerhalb der IT-Abteilung in den Fachbereichen statt.

Als ISB übernehmen sie die Verantwortung, ein ISMS (Information Security Management System) aufzubauen, die damit verbunden Maßstäbe an die Gegebenheiten des Unternehmens anzupassen und dem Ganzen Leben einzuhauchen. IT-Sicherheit liegt in der Verantwortung der IT-Abteilung. Informationssicherheit betrifft alle Daten und Informationen in Ihrem Unternehmen und damit alle Mitarbeiter, die mit diesen Daten umgehen. Informationssicherheit kann also nur funktionieren, wenn es Ihnen gelingt, dass alle mitmachen.

Welche Macht hat ein ISB?

Ganz ehrlich? In der Regel keine. Schon gar nicht zum Einstieg in diese neue Rolle. Man könnte es kurz beschreiben: Es geht um Führen ohne Macht.

Trotzdem: Sind sie aufgefordert, die Kultur Ihres Unternehmens zu verändern. Ja, ich weiß: Kultur ist ein großes Wort. Wenn es Ihnen gelingt, Ihren Kollegen für das eigene Handeln klare und akzeptierte Maßstäbe für die Informationssicherheit an die Hand zu geben, dann haben Sie Kultur Ihres Unternehmens verändert.

Das Unternehmen verbindet einen Anspruch an die Rolle des ISB (manchmal, ohne diesen konkret auszusprechen). Ein ISB kann keinen Angriff auf die Unternehmensdaten verhindern, aber ein ISB sollte wissen, was im Falle eines (erfolgreichen) Angriffs zu tun ist, um so zu helfen, die Folgen dieses Angriffs auf das Minimum zu reduzieren.

Der ISB als Spaßbremse

Sie sind wahrscheinlich fachlich top. Um sich Respekt im eigenen Unternehmen zu verschaffen, ist es sehr naheliegend, den Kollegen mangelndes Fachwissen und vermeintliche Fehler in der Informationssicherheit aufzuzeigen. Ich behaupte sogar, dies war noch nie so einfach wie heute.

Ob dieses Vorgehen geeignet ist, das Thema Informationssicherheit systematisch in Ihr Unternehmen einzuführen, ist mehr als fraglich. Als ISB haben Sie ein fundiertes IT-Wissen, die Kollegen in den Fachbereichen haben dies in der Regel nicht. Trotzdem ist das notwendige Maß an Informationssicherheit nur in enger Kooperation mit den Fachbereichen erreichbar.

Als ISB benötigen Sie nicht nur den Respekt, sondern auch das Vertrauen Ihrer Kollegen. Die Mitarbeiten im Unternehmen müssen zum ISB so viel Vertrauen aufbauen, dass diese im Zweifelsfall auch von Aktionen berichten, die ihnen im Nachhinein eher peinlich sind.

Gibt es für die ISMS-Einführung einen bewährten Weg?

Ja, den gibt es, allerdings hilft es wenig, zu Beginn alle Punkte, die ein ISMS erfordert, in eine Excel-Tabelle zu erfassen und diese nacheinander abzuarbeiten. Sie werden mit großer Wahrscheinlichkeit niemals fertig.

Bei der Einführung eines ISMS ist es von Bedeutung, einen für alle sichtbaren echten Nutzen aufzuzeigen. Sie erreichen dies, indem Sie einzelne Themen vollständig fertig stellen (vergl. Definition Of Done). Dies bedeutet jedoch gleichzeitig, dass Sie darüber entscheiden müssen viele Themen (noch) nicht anzugehen. Dieses Vorgehen kennen Sie vielleicht aus den agilen Vorgehensmodellen.

Gleichzeitig müssen Sie auf diesem Weg die Menschen mitnehmen. Das Top Management genauso wie die Prozessverantwortlichen, die Administratoren und natürlich die Anwender. Sie werden sehr schnell feststellen, dass jeder Kollege seine eigene Sprache und möglicherweise sogar sein eigenes Weltbild hat. Genau aus diesem Grund ist die Situation des ISB nicht nur kompliziert, sondern auch komplex.

Was bringt Ihnen eine Zusammenarbeit

Es gibt eine Unmenge an Situationen, die die erfolgreiche Einführung es ISMS verhindern. Ich unterstütze Sie, indem ich mit Ihnen in Ihrer spezifischen Situation konkrete Handlungsoptionen durchspreche, die Sie in die Lage versetzen, erfolgreich den nächsten Schritt zu gehen.

Die dabei auftretenden Fragestellungen sind nicht begrenzt. Von einem „... das haben wir noch nie gemacht …“ eines Admin-Kollegen bis zur fehlenden Unterschrift der Geschäftsführung für das notwendigen Firewall-Update ist alles dabei. Soviel kann ich jetzt schon verraten: Es hat sehr viel mit Sprache, Zuhören und Verstehen zu tun :-)

Sie profitieren von meiner eigenen Praxiserfahrung als externer ISB, als Auditor und auch als zertifizierter Coach.