Data Security - Datensicherheit beginnt mit den Sicherheitseinstellungen auf den IT-Systemen und der Sicherung der Datennetzwerke. Die mittels Transportprotokolle übertragenen Datenpakete stellen zunächst im Einzelnen keinen unmittelbaren Wert dar. Verfügbarkeit und Integrität sollten auf dieser Ebene die erste Priorität haben, ohne die Vertraulichkeit der Daten außer Acht zu lassen. Gezielte Schutzmaßnahmen gegen ein Datenleck sind weitere Aspekte um die Risiken der elektronischen Datenverarbeitung zu minimieren..
Ein große Herausforderung für viele Organisationen ist der Datenschutz (Data Privacy), als Teilmenge der Datensicherheit. In der Betrachtung zwischen Informations-sicherheit und Datenschutz unterliegen die Datenpakete mit personenbezogenen Daten bereits einer gesetzlichen Schutzpflicht. Oft gescholten, aber zum Schutz der anvertrauten personenbezogenen Daten ein unerläßlicher Beitrag.
Ungeachtet ob Datensicherheit oder Datenschutz mein Beratungsansatz und meine Empfehlung folgt einer gesamtheitlichen Betrachtung. Dadurch können bereits getätigte Investitionen mit erforderlichen Maßnahmen verknüpft und wirtschaftlich umgesetzt werden.
Information Security - Daten werden erst in der Beziehung zueinander zu Informationen mit unterschiedlichem Wert und Schutzbedarf. Ein Kernelement der Informationssicherheit ist die Beurteilung der Wertigkeit von Informationen. Dies geschieht im Zuge der Risikobewertung. Erst nachdem eine Risikobewertung erfolgte, ist es sinnvoll darauf wertbezogene Maßnahmen zu entwickeln und anzuwenden. Die in den Geschäftsprozessen verarbeiteten Informationen sind mit einem an der Organisationsstruktur entlang implementierten Informationssicherheit-Managementsystem (ISMS) am wirkungsvollsten geschützt. Die zum Schutz der Informationen enthaltenen Schutzmaßnahmen sind aufeinander abgestimmt und effizient anwandbar.
Ein allgemein verständliches und nachvollziehbares Reporting sollte dem Management zur Verfügung gestellt werden können. Damit können Entscheidungen zur Informationssicherheit auf der Grundlage dieser Daten getroffen werden.
Service Management - Das Service Management der IT, welches sich nicht der Informationssicherheit verpflichtet fühlt wird die Daten nicht wirkungsvoll schützen können. Sicher sind Delivery und Demand der Kernauftrag für das IT Service Management. Die geschäftseigenen elektronischen Daten sind nicht ausschließlich durch Angriffe von außen gefährdet. Die Gefahr der Aufdeckung vertraulicher Daten, der Verlust wegen schadhafter Sicherungskopien oder lückenhafter Nachweise wer wann Daten änderte sind Realität. Fehlerhafte Aktivitäten im IT Prozess, nicht angewandte Schutzmaßnahmen und Kontrollen sind die Ursachen mit oft weitreichenden Folgen für die Sicherheit der Daten zum finanziellen Schaden des Unternehmens oder dessen Image bei den Kunden. Nicht zu vergessen das Risiko für die haftenden Führungskräfte.
Cyber Security - Seit Jahren nehmen die Cyberattacken, also die Angriffe krimineller Akteure von außen, zu. Die Abwehr dagegen wird immer aufwendiger und schwieriger, weil die Angriffsmethoden komplexer und raffinierter werden. Die damit verbundenen Schäden für Unternehmen können existenzbedrohend, mittlerweile sogar staatsgefährdend sein. Ein einzelnes Unternehmen ist mittlerweile nicht mehr in der Lage dieser Bedrohung Herr zu werden. Es ist auf Experten und leistungsfähige Dienstleister zur Vorbeugung und Abwehr angewiesen. Unternehmen, die Beratung suchen, sollten darauf achten, dass das beratende Unternehmen die Geschäfts-bedürfnisse des Kunden erkennt und in die Beratung einfließen lässt. Die EU sieht diese große Gefahr ebenso und hat das sog. NIS-2-Richtlinie auf den Weg gebracht. Es ist die Antwort der EU-Staaten ihre Wirtschaft und ihre Bürger zu schützen und ist bis zum 17.Oktober 2024 (!) durch die betroffenen Unternehmen und Organisatonen umzusetzen.