In den letzten Jahren habe ich sehr unterschiedliche Ansätze gesehen, um Informationssicherheit in Unternehmen einzuführen.
Ich gehe davon aus, dass du entweder direkt unter NIS-2 fällst (und das auch geprüft hast) oder dass du über eine Lieferantenbeziehung zur Umsetzung verpflichtet bist.
Eine „goldene Regel“ ist grundsätzlich wichtig: Das Management bzw. die „oberste Leitung“ muss zu 100% dahinterstehen.
Sonst wird das Projekt in jedem Fall scheitern oder zumindest sehr schwer umsetzbar sein.
Ist das gewährleistet, so stellt sich die Frage nach einem möglichen Ansatz für den ersten Schritt.
Hier schlage ich das „Asset Management“ vor.
Aber Vorsicht – oft wird der Begriff viel zu technisch gesehen und damit läuft der Ansatz in die falsche Richtung.
- Die „Primary Assets“ in der Informationssicherheit sind die zu schützenden Geschäftsprozesse.
Kennst du diese und hast du die damit verbundenen Risiken im Blick?
Bei einem Online-Handels-Unternehmen können z.B. „der Warenversand / das Warehouse“ oder der „Customer Service“ dazu gehören. Vielleicht auch die „Zolldeklarationen“?
Oder im produzierenden Gewerbe alle Prozesse die direkt mit der „Produkterstellung“ zusammenhängen (Fertigung).
Als neuer CISO in einem Unternehmen verwende ich in der Regel die erste Zeit darauf dieses Unternehmen kennen zu lernen.
Stelle dir doch einmal die folgenden Fragen:
- Womit verdienen wir unser Geld? Was sind unsere Produkte? Welche Prozesse sind damit verbunden?
- Welche Rolle spielen dabei Prozesse? Welche generieren direkt Umsatz? Welche unterstützen andere? Wie sind die Abhängigkeiten?
- Welche kritischen Anwendungen/Geräte kommen dabei zum Einsatz
- Welche Informationen werden in den Prozessen verarbeitet?
- Was sind die Hauptbedenken bezüglich der derzeitigen Systeme und der Informationssicherheit?
- Welche spezifischen Erwartungen hast du an die „Informationssicherheit“?
- Welche „Stakeholder“ gibt es und wie sind deren Erwartungen an die Informationssicherheit?
Die letzte Frage ist nicht unerheblich.
- Wenn ich Radios verkaufe, dann wünschen sich meine Kunden meist ein gutes Produkt zu einem angepassten Preis.
- Wenn ich eine Arztpraxis betreibe, dann wünschen sich die Kunden einen sensiblen und verantwortungsbewussten Umgang mit den Informationen zu meiner Person.
Es gibt nicht nur einen Weg und die oben genannten Fragen. In dieser Phase ist neben Erfahrung besonders ein gutes Gespür für das „Business“ gefragt.
Richtige und sorgfältige Fragen führen dazu, dass man von Anfang an den Fokus auf geschäftskritische Prozesse lenken kann während „Supporting Assets“ mit einer kleineren Priorität behandelt werden können.
- Die Priorisierung auf die richtigen Ziele wird dir enorm helfen.
Du hast nur beschränkte Ressourcen. Sei es nun das liebe Geld oder die Menschen, die an der Informationssicherheit arbeiten können.
Darüber hinaus solltest du nach den „Low hanging fruits“ suchen. Es gibt immer Themen, bei denen man schnell und mit wenig Aufwand ein gutes Resultat erzielen kann.
- „Low hanging fruits“ führen zu schnellen Verbesserungen
Doch Vorsicht – daneben spielt das immer wieder zitierte „Risiko“ auch eine entscheidende Rolle.
Dort wo das Risiko sehr hoch ist, muss man auch möglichst früh arbeiten.
- Assets mit hohem Risiko müssen identifiziert und angegangen werden
Spätestens jetzt solltest du das Gefühl haben, dass sehr viel zu tun ist?
Wie kann ich das organisieren und den Überblick behalten?
Die Lösung dafür bietet das ISMS. Es stellt einen Rahmen in dem du deine Aktivitäten optimal aufhängen und steuern kannst.
Dieses ist aber noch nicht vorhanden? Was nun?
Kein Problem. Fange einfach damit an alles was du herausfindest und woran du arbeitest auf irgendeine Art und Weise systematisch zu dokumentieren.
- Dokumentation ist der erste Schritt zum ISMS
Rom wurde auch nicht an einem Tag erbaut und die Grundschritte beim Tanzen muss man eben üben.
Gleichzeitig kaufst du dir passende Kleidung und Schuhe.
Behalte dein Ziel im Auge und mache das was dir richtig erscheint.
- Keine Angst vor Fehlern – Fehler sind die Chance zu lernen wie man es besser machen kann.
In den nächsten Beiträgen werde ich versuchen dir weitere „Tanzschritte“ (Risikomanagement, BCM) beizubringen.
Ich erhebe nicht den Anspruch, dass alles vollständig oder richtig oder perfekt ist.
Das spielt keine Rolle denn mein Ziel ist schlicht und ergreifend dass du anfängst etwas für Informationssicherheit zu tun.
“NIS-2 – Your First Steps into Information Security”
In recent years, i have seen various approaches in implementing information security in companies. It is assumed that you either fall directly under NIS-2 and have checked this, or you are obliged to implement it due to a supplier relationship. A fundamental “golden rule” is that the management must support it 100%. If not, the project will inevitably fail or be very difficult to implement.
Once this is ensured, the question arises as to a possible approach for the first step. Here, “Asset Management” is suggested. However, caution is advised as the term is often seen too technically, leading the approach in the wrong direction. The “Primary Assets” in information security are the business processes to be protected. Do you know these and do you have the associated risks in view?
As a new CISO in a company, the initial time is usually spent getting to know the company. Ask yourself the following questions: What do we earn our money with? What are our products? Which processes are associated with it? What role do processes play? Which generate direct sales? Which support others? What are the dependencies? Which critical applications/devices are used? Which information is processed in the processes? What are the main concerns about the current systems and information security? What specific expectations do you have of “information security”? Who are the “stakeholders” and what are their expectations of information security?
The last question is not insignificant. If I sell radios, then my customers usually want a good product at an adjusted price. If I run a doctor’s office, then customers want sensitive and responsible handling of the information about my person. There is not only one way and the questions mentioned above. In this phase, in addition to experience, a good sense for the “business” is required.
Correct and careful selected questions lead to the fact that from the beginning you can focus on business-critical processes while “Supporting Assets” can be treated with a smaller priority. The prioritization on the right goals will help you enormously. You only have limited resources. Be it the dear money or the people who can work on information security. In addition, you should look for the “low hanging fruits”. There are always topics where you can achieve a good result quickly and with little effort. “Low hanging fruits” lead to quick improvements.
But be careful – the repeatedly cited “risk” also plays a decisive role. Where the risk is very high, you also have to work as early as possible. Assets with high risk must be identified and tackled. By now at the latest you should have the feeling that there is a lot to do? How can I organize this and keep track of things? The ISMS offers the solution for this. It provides a framework in which you can optimally hang and control your activities. This is not yet available? What now?
No problem. Just start documenting everything you find out and work on in some systematic way. Documentation is the first step towards the ISMS. Rome was not built in a day and you just have to practice the basic steps of dancing. At the same time, I buy suitable clothes and shoes. Keep your goal in mind and do what seems right to you. Don’t be afraid of mistakes – mistakes are the chance to learn how to do better.
In the next posts, I will try to teach you more “dances” (risk management, BCM). I do not claim that everything is complete or correct or perfect. That doesn’t matter because my goal is simply that you start doing something for information security.