Rubrik: Fachbeiträge/Grundlagen

Werkzeuge für das ISMS und BCMS der Zukunft

ISMS und BCMS entwickeln sich zu einem strukturierten, prozessorientierten und integrierten Vorgehen

(11.03.10) - Sicherheitsmanager und Notfallmanager stehen heutzutage vor enormen Herausforderungen: Risiken identifizieren, bewerten und steuern, regulatorische Anforderungen erfüllen und die Organisation optimal auf alle Eventualitäten vorbereiten, um nur einige davon zu nennen. Je größer die Organisation ist, desto komplexer ist diese Aufgabe und desto mehr Daten fallen dabei an, die verwaltet und vor allem ausgewertet werden müssen. Dieser Artikel beschreibt die Anforderungen an Tools, die die Basis für ein effektives und effizientes Information Security Management System (ISMS) und Business Continuity Management System (BCMS) sind.  

Die Herausforderung für Sicherheitsmanager und Notfallmanager ist es, die wirklich kritischen Informationen und Geschäftsprozesse zu identifizieren und den Risiken angemessene Maßnahmen zu ergreifen. Denn alles in gleichem Maße zu betrachten und zu schützen, wäre weder hinsichtlich der benötigten Ressourcen noch aus rein finanzieller Sicht vertretbar. Es geht also darum, genug Überblick und Kenntnis über alle wesentlichen Geschäftsprozesse und Informationen zu erlangen und in einem geordneten und transparenten Verfahren eine Priorisierung im Hinblick auf deren Kritikalität vorzunehmen. Durch die Konzentration auf das Wesentliche können die Ressourcen und das Budget des Sicherheits- und Business Continuity Managements gezielt zur Senkung von kritischen Risiken eingesetzt werden. Gleichzeitig werden zwei Wirtschaftlichkeitsaspekte berücksichtigt: die Wirtschaftlichkeit der Managementsysteme und die der Maßnahmen.

Darüber hinaus müssen Sicherheitsmanager und Notfallmanager in regelmäßigen Abständen Berichte für das Management, einzelne Fachbereiche und das operationelle Risikomanagement der betreffenden Organisation erstellen, um die notwendige Transparenz und damit Aufmerksamkeit für diese beiden wichtigen Themen zu schaffen. In Organisationen mit mehreren hundert IT-Anwendungen und Geschäftsprozessen ist dies eine komplexe Aufgabe und die Erstellung eines einzigen Berichts kann unter Umständen mehrere Wochen in Anspruch nehmen.

Trends

In den letzten Jahren zeichnet sich bei vielen Organisationen in Deutschland und Europa ein Trend ab: der Trend hin zur Etablierung einer prozessorientierten Vorgehensweise in der Informations-sicherheit und im Business Continuity Management. Ziel dabei ist es, Bewertungen, Analysen und Konzepte in einem transparenten und reproduzierbaren Verfahren zu erstellen und vor allem auch aktuell zu halten. Beispiele hierfür sind die Identifikation und Bewertung von Risiken, die Prüfung gegen interne oder externe Vorgaben sowie die Erstellung, Pflege und der Test von Notfallplänen. Oft werden auch Elemente des ISMS oder BCMS in der Projektvorgehensweise und anderen Prozessen der Organisation verankert. Wichtig dabei ist auch das Einbinden der Verantwortlichen für die Informationen und Geschäftsprozesse.

Dies hat einerseits rein operative Gründe, denn eine zentrale Stelle kann viele Aspekte - wie zum Beispiel den Schaden beim Ausfall eines einzelnen Geschäftsprozesses - nur schwer oder gar nicht bewerten. Andererseits gibt es dafür aber auch interne und externe Vorgaben, beispielweise von Wirtschaftsprüfern, der internen Revision und von den jeweiligen Standards (BS ISO/IEC 27001 für die Informationssicherheit und BS 25999 für das Business Continuity Management). Alle fordern die Nachvollziehbarkeit aller wesentlichen Tätigkeiten. Und die ist ohne einen geregelten Prozess kaum zu erreichen.

Ein weiterer wichtiger Trend ist die Tendenz hin zu einem ganzheitlichen, integrierten Management-system, das neben Informationssicherheit und Business Continuity Management auch zum Beispiel Qualitätsmanagement und Umweltmanagement umfassen kann. Dabei werden insbesondere

·         Anforderungen übergreifend erfasst (zum Beispiel indem eine Business Impact Analyse aus dem Business Continuity Management um Aspekte der Informationssicherheit ergänzt wird),

·         Maßnahmen zwischen den unterschiedlichen Bereichen priorisiert und koordiniert oder

·         Informationen zu einem übergreifenden Berichtswesen zusammengefasst.

Diese Trends sind aus fachlicher Sicht absolut sinnvoll und eine konsequente Weiterentwicklung. Sie bringen jedoch eine Erhöhung der Komplexität mit sich, vor allem auch eine steigende Menge der zu verarbeitenden Informationen. Dabei besteht die Gefahr, dass die Sicherheitsmanager und Notfallmanager oder deren Teams aufgrund der Masse an Informationen den Blick für das Wesentliche verlieren oder mit Routinetätigkeiten unverhältnismäßig viel Zeit verbringen. Damit würden sich viele der Vorteile eines modernen BCMS und ISMS wieder relativieren.

Anforderungen an ein Softwarewerkzeug

Um die oben beschriebenen Entwicklungen optimal umsetzen zu können, ist ein Softwarewerkzeug unerlässlich. Ein gutes Tool erlaubt es, Informationen dezentral zu erfassen, zentral zu sammeln, zu konsolidieren und unter unterschiedlichen Gesichtspunkten auszuwerten.

Arbeitsweise moderner ISMS oder BCMS Tools

Die Möglichkeiten reichen dabei von Textverarbeitungs- und Tabellenkalkulationsprogrammen über individuelle Datenbanklösungen bis hin zu umfangreichen Softwarelösungen, die speziell zu diesem Zweck entwickelt wurden. Wichtig sind dabei für den Sicherheitsmanager wie auch dem Notfall-manager in erster Linie die folgenden Aspekte:

·         Einfach zu bedienende Oberfläche, in der sich auch Mitarbeiter zurechtfinden, die das Tool nur selten nutzen (zum Beispiel um einmal pro Jahr die Business Impact Analyse zu aktualisieren)

·         Flexibilität, um die zur Organisation passenden Prozesse und Methoden optimal abbilden zu können

·         Flexibles Berechtigungskonzept, um die unterschiedlichen Rollen in den Prozessen abbilden zu können

·         Umfassende und individuelle Auswertungsmöglichkeiten, um schnell und einfach die wichtigen Informationen herausfiltern zu können

·         Schnittstellen, um vorhandene Datenbestände nutzen zu können und Redundanzen zu vermeiden

·         Erweiterbarkeit, um auch künftige Anforderungen erfüllen zu können

Bei Auswahl und Einführung eines Tools zur Unterstützung eines ISMS oder BCMS gibt es grundsätzlich es zwei unterschiedliche Herangehensweisen:

1. Wenn sich eine Organisation in der Phase befindet, in der die Methoden und Prozesse erst noch definiert und etabliert werden müssen, kann der Einsatz einer Standardlösung wertvolle Hilfestellung leisten. Voraussetzung hierfür ist aber, dass sich die Lösung an Best-Practise-Ansätzen und anerkannten Standards orientiert.

2. Wenn eine Organisation bereits Methoden und Prozesse etabliert hat, zählt in erster Linie die Flexibilität der Softwarelösung. Denn die Softwarelösung muss sich an die Organisation anpassen und nicht umgekehrt. Nur so kann ein Tool den Erfolg eines ISMS oder BCMS langfristig unterstützen.

Zusammenfassend lässt sich sagen: Ein Softwarewerkzeug muss zur Organisation, zu deren Methoden und Prozessen, aber auch zu ihrem Reifegrad passen.

Fazit

Das Management von Informationssicherheit und das Business Continuity Management entwickeln sich hin zu einem strukturierten, prozessorientierten und integrierten Vorgehen. Dabei müssen die Verantwortlichen mit einer wachsenden Menge an Informationen umgehen, ohne dabei jedoch den Blick für das Wesentliche zu verlieren. Ein Softwarewerkzeug ist dafür im Grunde unerlässlich, wobei die Möglichkeiten sehr vielschichtig sind. Bei der Auswahl des Werkzeugs sollte eine Organisation stets ihre Ziele und ihre Strategie in der Informationssicherheit und im Business Continuity Management im Blick behalten, denn nur so können beide Managementsysteme langfristig erfolgreich sein. (Secaron: ma)