Production Perig - stock.adobe.c
Best Practices für Security-Richtlinien in Unternehmen
Solide Security-Richtlinien sind wichtiger Bestandteil für den Geschäftsbetrieb und -erfolg. Diese müssen extern wie intern transparent sein und immer wieder überprüft werden.
Wenn sie richtig angelegt werden, tragen Security-Richtlinien entscheidend dazu bei, den sicheren und effizienten Geschäftsbetrieb eines Unternehmens zu gewährleisten. Und somit sind gut ausgeführte Sicherheitsrichtlinien ein nicht unwesentlicher Bestandteil des Erfolges eines Unternehmens. Sie stellen unter anderem eine präzise Erklärung der Absichten der Geschäftsführung dar. Richtlinien sind ein Leitfaden für einen schnellen Einstieg in das Security-Programm eines Unternehmens. Ordentliche Richtlinien tragen dazu bei, dass die Mitarbeiter wissen, was von ihnen erwartet wird, und dass die Führungskräfte über klare Richtlinien und Anforderungen verfügen.
Sicherheitsrichtlinien können auch bei Audits oder anderen externen Bewertungen – etwa durch Geschäftspartner, Kunden und Lieferanten – von zunehmender Bedeutung sein.
Um sicherzustellen, dass die IT-Sicherheitsrichtlinien genau das bewirken, wofür sie erstellt wurden, müssen sie auf dem neuesten Stand sein und regelmäßig überprüft und aktualisiert werden. Ist es notwendig gänzliche neue Richtlinien anzulegen? Lassen sich veraltete Richtlinien in lebendige, nachvollziehbare Vorschriften umwandelt? Hier sind fünf bewährte Verfahren, die bei derlei Vorhaben den Einstieg erleichtern.
Wissen, wofür Richtlinien benötigt werden
Die Anforderungen an die Richtlinien können je nach Größe und Branche eines Unternehmens erheblich variieren. So hat ein weltweit tätiges Finanzinstitut beispielsweise vermutlich weitaus komplexere Richtlinien als eine kleine Buchhaltungsfirma oder ein Cloud-natives Fintech-Unternehmen. Wenn das eigene Unternehmen zu einer regulierten Branche gehört, sollte man alle Anforderungen des Prüfers in die IT-Sicherheitsrichtlinien aufnehmen. Und natürlich müssen die Richtlinien allgemeine Vorgaben, die sich beispielsweise aus der Datenschutz-Grundverordnung (EU-DSGVO) ergeben, gerecht werden. Auch nicht regulierte Unternehmen finden beim BSI und dem IT-Grundschutz viele hilfreiche Informationen im Hinblick auf Sicherheitsmaßnahmen.
Bei der Wiederverwendung von Richtlinien effizient vorgehen
Da die Sicherheit der Lieferkette immer mehr an Bedeutung gewinnt, sind gemeinsame Bewertungen und Zertifizierungen wichtiger denn je. Viele Kunden und Lieferanten werden Unternehmen auffordern, entsprechende Transparenz der eigenen Security-Politik zu schaffen – und sei es über Fragebögen. Eigene Richtlinien können eine Grundlage für viele der Antworten bilden. Dieser Antwortprozess lässt sich optimieren, wenn Richtlinien modular gestaltet werden und so fast schon automatisch für alle Fragestellungen die Antworten vorliegen.
Richtlinien verständlich gestalten
In der Regel dürften viele Mitarbeiter weder eine sehr juristischen oder noch eine sehr technischen Ausdrucksweise im Alltag verwenden. Es ist wichtig, die Richtlinien so zu verfassen, dass sie für das Zielpublikum lesbar sind. Insbesondere auch bei Richtlinien, die personelle Maßnahmen erfordern können. So sollte beispielsweise eine Acceptable Use Policy (AUP), die alle Anwender betrifft, auch von allen gelesen werden können, mit der Erwartung, dass sie diese verstehen und daran halten. Eine Backup-Richtlinie kann hingegen durchaus technischer sein, da sie in der Regel vom IT-Teams als Grundlage für den Backup-Prozess verwendet wird.
Weniger ist mehr
Viele Unternehmen verabschieden extrem lange und ausführliche, detaillierte Richtlinien. Das kann aus zwei Aspekten problematisch sein. Erstens: Wenn sie zu lang sind, wird die Richtlinien niemand lesen. Das zweite Problem kann ebenfalls schwerwiegend sein: Wenn die Richtlinie besagt, dass das Unternehmen all dies auch im Detail tut, dann muss es das auch tun. Es gilt zu bewerten, was das Unternehmen vernünftigerweise zur Einhaltung aller Vorschriften erreichen kann. Wenn dies dann alles erreicht wird, ist dies transparenter und glaubwürdiger.
Richtlinien aktuell halten
Ein sehr wichtiger Aspekt ist: Sicherheitsrichtlinien sind lebendige Dokumente. Unternehmen verändern sich, die Technologie entwickelt sich weiter, Arbeitsweisen sind einem Wandel unterzogen – und damit müssen sich die IT-Sicherheitsrichtlinien ebenfalls ändern. Es sollte ein regelmäßiger Rhythmus für die Überprüfung und Überarbeitung festgelegt werden und ein Team, das sich darum kümmert. Und dieses Team muss die wichtigsten Interessensgruppen, einbeziehen, die von den Kontrollen betroffen sind. Das sind die Fachabteilungen, wie auch Betriebsrat und Personalabteilung. Auf diese Weise wird eine Kultur der Zusammenarbeit geschaffen, in der die Richtlinien vom Unternehmen erstellt wurden und nicht ohne Mitwirkung der Mitarbeiter durchgesetzt werden.