ISF legt Ratgeber zur sicheren IT-Nutzung in Firmen auf

Das Information Security Forum (ISF), eine der größten Non-Profit-Organisationen für Informationssicherheit und Risikomanagement, hat einen Leitfaden veröffentlicht, der Unternehmen helfen soll, das Verhalten ihrer Mitarbeiter in Bezug auf die IT-Sicherheit zu verbessern. Der Ratgeber mit dem Titel “From Promoting Awareness to Embedding Behaviours” enthält Tipps und Handlungsempfehlungen – unter anderem auf Grundlage bewährter Vorgehensweisen (Best Practice) von ISF-Mitgliedsfirmen.

Für diese steht der Bericht kostenlos zur Verfügung. Nichtmitglieder können ihn im Online-Shop des ISF käuflich erwerben. Eine kurze Zusammenfassung steht hingegen für jedermann gratis zum Download bereit.

Dem Leitfaden zufolge reicht es nicht, Mitarbeiter lediglich für das Thema “Informationssicherheit” zu sensibilisieren – vielmehr müssten für den Umgang mit geschäftskritischen Daten entsprechende Verhaltensmuster nachhaltig verinnerlicht werden. Laut Steve Durbin, Global Vice President des ISF, ist das jedoch noch zu selten der Fall: “Informationssicherheit wird häufig leider immer noch als rein technische Angelegenheit eingestuft. Viele Unternehmen haben zwar mittlerweile verstanden, dass Informations- und IT-Sicherheit vor allem ein ‘People Business’ ist, entsprechende Sensibilisierungsmaßnahmen münden aber noch viel zu selten in dauerhafte Verhaltensänderungen”.

Der Bericht soll IT-Verantwortlichen in Unternehmen daher aufzeigen, wie sie nicht nur das Bewusstsein für Informationssicherheit schärfen, sondern dieses in entsprechend positives Verhalten ummünzen. So empfiehlt der Leitfaden unter anderem risikogesteuerte Lösungsansätze im Hinblick auf die IT-Sicherheit zu entwerfen: Firmen müssen demnach sicherstellen, dass jede Security-relevante Lösung einen direkten Bezug zu den jeweiligen geschäftskritischen Anforderungen aufweist und dabei mindestens ein zugehöriges Risiko adressiert. Zudem müssten Bewertungskriterien aufgestellt werden, etwa um die Wertigkeit einer Sicherheitslösung messen zu können.

Ferner sollen Unternehmen Security-relevante Systeme und Prozesse einbinden, die so benutzerfreundlich wie möglich sind. So darf es laut dem Bericht nicht sein, dass sich Mitarbeiter in ihrem Verhalten komplexen Systemen und schwerfälligen Prozessen anpassen müssen. Vielmehr sollten letztere in dem Fall auf den Prüfstand gestellt werden.

Zudem empfiehlt der Leitfaden im Hinblick auf positives Informationssicherheitsverhalten, die Mitarbeiter nicht zu universell ausbilden zu wollen. Dies sei unter Berücksichtigung der geschäftlichen Rahmenbedingungen heute unmöglich.

Auch müssten realistische Erwartungen an die Firmenangehörigen gestellt werden. Eine für die Unternehmenssicherheit positive Verhaltensänderung erfolge nicht “über Nacht”, sondern benötige bis zu ihrer nachhaltigen Verinnerlichung drei bis fünf Jahre. Darüber hinaus sollten positive Verhaltensweisen seitens der Mitarbeiter entsprechend belohnt werden. Mit inakzeptablem Verhalten müsse dagegen “auf konstruktive Weise” umgegangen werden.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

 Loading ...