10.02.2006, 15:57 Uhr
Security Policy gezielt publiziert
Security-Experte Reto Grünenfelder zeigt exklusiv in Computerworld, wie man seine Seicherheitsrichtlinien schlau publiziert.
Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.
Frage: In der Computerworld 04 vom 27. Januar wurde aufgezeigt, wie Sicherheitsrichtlinien effizient erstellt werden. Wir sind mit der Überarbeitung der Sicherheitsrichtlinien beschäftigt und haben uns gefragt, wie wir die aufgearbeiteten Informationen am besten publizieren. Was schlagen Sie uns diesbezüglich vor?
In der Tat, eine Sicherheitsrichtlinie kann nur so gut sein wie deren Publikation. Da Sicherheitsrichtlinien kein einmaliges Werk sind (oder sein sollten), müssen sie in einen kontinuierlichen Prozess eingebunden werden. Die wesentlichen Punkte in diesem Kreislauf sind:
die Verifikation der bestehenden Richtlinien auf ihre Aktualität bezüglich Vorgaben und Richtlinien sowie das Feststellen von Abweichungen (Gap Analysis)
Überarbeiten und Aktualisieren der Richtlinien gemäss der identifizierten Abweichungen
Prüfung und Freigabe der neuen Sicherheitsrichtlinien durch das Sicherheitsgremium der Organisation
Einführung der überarbeiteten respektive neuen Sicherheitsrichtlinien.
Dieser Prozess kann mit modernen Tools (Policy Manager) unterstützt werden. Damit können Sie den gesamten Prozess in einen Workflow einbinden. Ein wichtiger Teil dieses Workflows ist auch die Publikation der neuen respektive überarbeiteten Richtlinien. Dies kann via Mail oder über das Web erfolgen. Sie müssen nur beachten, dass die reine Publikation der Richtlinie noch keinen Hinweis gibt, ob sie gelesen wurde und schon gar keine Aussage gemacht werden kann, ob sie auch verstanden wurde.
Effizientes IT-Risk-Management, wie es in den neuen Regulationen von SOX und Basel II verlangt wird, erfordert jedoch eindeutige Verantwortlichkeiten und Nachvollziehbarkeit aller relevanten Aktivitäten. Für die Sicherheitsrichtlinien bedeutet dies, dass Sie von den Benutzern zu jedem neu publizierten Dokument eine Lesebestätigung einholen müssen. Nur, gelesen heisst nicht unbedingt verstanden und eine Richtlinie, die gelesen, aber nicht verstanden wurde, nützt schlichtweg nichts. An dieser Stelle setzen moderne Policy-Management-Werkzeuge an. Sobald ein Benutzer bestätigt hat, die Richtlinie gelesen zu haben, wird er zu einem Quiz geführt, das mit vier bis fünf Fragen prüft, ob die Richtlinie verstanden wurde. Webbasierte Lösungen erlauben selbstverständlich die Auswertung der Ergebnisse. So kann dem Sicherheitsverantwortlichen angezeigt werden, wie viele Personen die Richtlinie gelesen haben, wie viele an dem Kurztest teilgenommen und ihn bestanden haben.
Da neue Sicherheitsrichtlinien meist eine Reaktion auf neue Bedrohungen sind, ist es wichtig, dass der Einführung der Richtlinien die entsprechende Bedeutung beigemessen wird. Eine effiziente Lösung ist, die Einführung der Richtlinie mit einer Security-Awareness-Kampagne zu unterstützen. Awareness-Kampagnen gehen weiter als ein Kurztest bei der Publikation der neuen Richtlinie. Mit Awareness-Kampagnen, etwa mit Hilfe von E-Learning-Plattformen, kann der Mitarbeiter für relevante Sicherheitsfragen gezielt geschult und sensibilisiert werden. Derartige E-Learning-Plattformen erleichtern es dem Bildungsverantwortlichen auf spielerische Art und Weise die interne Security Policy an die Mitarbeiter weiter zu geben. Die Lernenden erarbeiten die Grundlagen selbstständig und in ihrem Tempo direkt an ihrem Arbeitsplatz. Die modular aufgebauten Kurse dienen jederzeit auch der Nachhaltigkeit und zum Auffrischen des Wissens. Ein weiterer Vorteil ist, dass die Security-Verantwortlichen den Lernfortschritt der Mitarbeiter mit einem sehr geringen Mass an administrativem Aufwand jederzeit verfolgen und mit einem Test den Wissensstand abfragen können.
