6. Mai 2021

IT-Sicherheit: Ohne passende Ziele geht’s nicht

Von Joachim Reinke

Mai 6, 2021

Informationssicherheit, IT-Sicherheitsziel, Sicherheitsziel

Informationssicherheit nach ISO 27001, Cybersecurity, IT-Sicherheit: Ohne passende Ziele geht's nicht! Wir zeigenen Ihnen, wie Sie sich einfach leicht messbare Ziele geben, die Ihnen zeigen, ob Sie auf dem richtigen Weg sind.

Wenn Sie auf dem Weg zu einer ISO 27001-Zertifizierung sind, werden Sie sich über kurz oder lang eine "Informationssicherheitsleitlinie (mit dem o.g. Video)" geben (auch genannt "IS-Policy", "IS-Richtline" o.ä.).

Und in dieser Leitlinie beschreiben Sie, welche Ziele Sie verfolgen. Nicht elegisch und nebulös. Nein, ganz konkret und messbar.

Dass diese Ziele in der Norm gefordert sind, liegt nicht daran, dass das in diesen sperrigen Normen halt nun einmal so ist - es ist einfach sinnvoll. Ohne Ziele lässt es sich nur schwierig fokussiert arbeiten.

Die geforderten Informationssicherheitsziele müssen gar nicht kompliziert sein, es ist recht einfach, sie abzuleiten.

Beispiel:

Sie bieten eine Applikation an, die bestimmte Daten vertraulich hält, bspw. Bewegungsdaten über Zahlungen.

1. IT-Sicherheitsziel Vertraulichkeit

Ihre Frage lautet: "Wann haben wir unser Ziel erreicht?"

Hier könnten Sie bspw. antworten: "Wenn wir selbst keinen Bruch der Vertraulichkeit festgestellt haben und unsere Kunden auch nicht."

Schon haben Sie ein passendes Ziel definiert. Als nächstes können Sie überlegen, wie Sie das messen möchten - auf einfache Art und Weise ohne viel Aufwand.

Hier könnten Sie sagen "Wir zählen einfach, wie häufig uns im Jahr Kunden anrufen, die uns uns nachweislich mitteilen, dass die Vertraulichkeit gebrochen wurde. Oder wie häufig unsere eigenen Mitarbeiter so einen Bruch feststellen."

Und zum Schluss: "Wenn das höchstens 1x im Jahr passiert, haben wir unser Ziel erreicht. Ansonsten nicht."

2. IT-Sicherheitsziel Integrität

Sie gehen ganz ähnlich vor. Die erste Frage lautet (analog zu oben): "Wann haben wir unser Ziel erreicht?"

Die optimale Antwort ist natürlich: "Wenn kein Kunde sagt, dass unsere Zahlen nicht stimmen - und wenn wir selbst auch nichts dergleichen festgestellt haben."

Das zweite Ziel ist definiert. Abschließend geben Sie sich auch hier noch eine Zielerreichung vor: "Wir zählen die Vorkommnisse: wie häufig hatten wir einen Bruch der Integrität von Daten im letzten Jahr"

Auch hier abschließend: "Wenn das höchstens 1x im Jahr vorkommt, sind wir einigermaßen zufrieden und halten das Ziel für erfüllt." (Vielleicht sind es bei Ihnen auch 2-3x - das liegt ganz bei Ihnen.)

3. IT-Sicherheitsziel Verfügbarkeit

Sie ahnen es schon - dasselbe Spiel. Hier würden Sie bspw. sagen "Wenn unsere Informationen im Jahr 24/7 zur Verfügung stehen und höchstens 1% der Gesamtzeit nicht verfügbar waren, ist für uns alles OK!"

Sie sehen schon

ISO 27001 und IT-Sicherheit: Ohne passende Ziele geht's nicht

Aber die Ziele zu finden und zu messen, muss kein immenser Aufwand für Sie sein. Halten Sie es einfach und unkompliziert!

Unser Tipp

Geben Sie sich ganz konkrete einfach messbare Ziele. Und auch bitte nicht zu viele davon: wer viel misst, sieht die Welt vor lauter Messwerten nicht mehr.

Beschreiben Sie:

  1. Welche Informationen sollen bei Ihnen vertraulich bleiben und was muss genau passieren, damit Sie sich hier eine "1" oder eine "6" (oder irgendetwas dazwischen) bescheinigen.
  2. Welche Informationen dürfen auch keinen Fall unabsichtlich oder unbefugt verändert werden können? Und wann würden Sie sich hier wie benoten?
  3. Schließlich: Welche Informationen möchten Sie Ihren Kunden/Partnern/Nutzern hoch verfügbar anbieten? Und was heißt "hoch verfügbar" bei Ihnen? Wann würden Sie sich hier eine sehr gute und wann eine sehr schlechte Note geben?

Erst wenn Sie sich hier selbst klar gemacht haben, was die Hürden sind, über die Sie selbst springen wollen, wissen Sie, ob Sie zielgerichtet unterwegs sind. Und worauf sich Ihre Anstrengungen fokussieren sollten.

Am besten funktioniert das Ganze, wenn Sie Ihre Informationssicherheitsziele mit Ihren übrigen Unternehmenszielen verknüpfen, messen und reporten, dann ist das für Sie ein Abwasch!

Brauchen Sie noch ein paar passende Informationssicherheitsziele? Dann vereinbaren Sie doch einen kostenlosen Gesprächstermin. Oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.


Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}