Anzeige

Vorbereitung auf Cyber-Angriff

Bewertung der IT-Sicherheit unerlässlich?

Warum sollte jedes Unternehmen seinen Reifegrad bestimmen?

Jede Firma hat schützenswerte Assets, die nicht in fremde Hände gelangen sollten und von denen ein reibungsloser Geschäftsbetrieb abhängt. Allerdings gibt es kein Standardpaket, um die Gefahren abzudecken. Jedes Unternehmen hat vielmehr ein ganz eigenes Risikoprofil und geht anders mit unvorhersehbaren Situationen um. Deshalb ist es wichtig, den aktuellen Sicherheitsreifegrad der IT-Landschaft zu bestimmen, aber auch anhand des Geschäftsmodells und - daraus resultierend - der individuellen Risikobereitschaft den Soll-Zustand zu definieren. Darauf aufbauend lässt sich eine Roadmap erstellen, um zu beurteilen, wo Prozesse verbessert und Lücken geschlossen werden müssen, damit man nach einem Notfall schnell wieder handlungsfähig ist. Zudem können Unternehmen auf diese Weise einen Plan zur Einhaltung externer Vorschriften und vertraglicher Verpflichtungen sowie zur Anpassung an die Best Practices der Branche anfertigen. Das schließt u.a. Standards, Richtlinien und Zertifizierungen wie den IT-Grundschutz, BSI 100-x, ISO2700x und NIS ein. Ein Benchmark schafft durch einen strukturierten Marktvergleich Klarheit, wie es um die Effizienz und Effektivität der eigenen Informationssicherheit bestellt ist.

Wie bewertet man den Sicherheitsstand einer Firma?

In die Bemessung des Reifegrads der IT-Sicherheit fließen die unterschiedlichsten Faktoren ein. Das fängt bei der Frage an, ob ein Unternehmen ein Cybersecurity-Programm hat, das sich an der geschäftlichen Strategie orientiert. Genauso wichtig ist die organisatorische und prozessuale Aufstellung: Gibt es genügend Mitarbeiter, die sich dediziert um IT-Sicherheit kümmern? Hat das Unternehmen ein etabliertes Sicherheitsmanagementsystem? Sind Prozesse repetitiv, sodass sich auf Basis der Dokumentation im Notfall alles wiederherstellen lässt? Nutzt das Unternehmen Automatisierung oder muss alles manuell erledigt werden? Gibt es nur Firewalls und Virenscanner oder stehen ganzheitliche Sicherheitslösungen etwa auf Basis von Identitäts- und Zugriffsmanagement sowie Angriffserkennung mittels Machine Learning zur Verfügung? Ziel ist eine umfassende Überprüfung aller personellen, verfahrenstechnischen und technologischen Aspekte der Informationssicherheit und das Identifizieren von Lücken.

NTT Security (Germany) GmbH

Dieser Artikel erschien in Industrial Security-News 1 2023 - 26.01.23.
Für weitere Artikel besuchen Sie