zurück zur Übersicht

Strategie-Coaching für KMU Security Teams

Security Teams sind eigentlich nie zu beneiden. Passieren keine Vorfälle, wird ihre Arbeit nur selten gewürdigt. Passieren sie, dann ernten sie zumeist Kritik und werden mit Fragen konfrontiert, warum sich dieses oder jenes nicht verhindern lies. Security Teams in kleinen und mittleren Unternehmen (KMU) sind häufig noch schlechter dran. Oft führen sie ihren Kampf mit sehr beschränkten Mitteln, personell und technologisch. Grund genug also einmal genauer hinzuschauen, welche Fragen sich gerade Security Teams in KMUs regelmäßig stellen sollten, um ihre Ausgangslage in Sachen Security Strategie zu verbessern.

Management Attention

1.) Legen wir dem Management regelmäßig unsere Arbeitsergebnisse dar?
Mal ehrlich, Trommeln gehört zum Handwerk, und wenn Ressourcen rar sind, kommt dem noch mehr Bedeutung zu. Management Attention ist wichtig, denn verstehen Entscheider nicht, welchen Mehrwert Investitionen in Informationssicherheit haben, werden sie dem nicht die notwendige Bedeutung beimessen. Die Rede ist hier nicht von unverständlichen Statistiken, sondern Security Teams sollten regelmäßig verständliche Reports zur Verfügung stellen, die klar darlegen, welchen Einfluss ihre Arbeit auf den Geschäftsbetrieb des Unternehmens hat. Wichtig hierbei ist, dass kein Tech Speech verwendet wird, sondern die Sprache des Managements – in anderen Worten Zahlen mit einem Währungszeichen dahinter und Trendverläufe werden von Nicht-Technikern am einfachsten verstanden.

Risikoverständnis

2.) Beleuchten wir regelmäßig die Schwachstellen unseres Unternehmens und die daraus entstehenden Risiken?
Keine einfache Frage, denn die Rede ist hier nicht von regelmäßigen Schwachstellenscans, die ohne Frage keine schlechte Idee und ebenfalls sehr wichtig sind. Hier bewegen wir uns eine Ebene über der technischen Sicht auf der Ebene der Geschäftsprozesse. Gerade kleinere und mittlere Unternehmen sind unheimlich agil, was Geschäftsmodelle und Geschäftsbereiche angeht. Die Gefahr ist groß, dass diejenigen, die für die Informationssicherheit verantwortlich sind, hier von Entwicklungen und Entscheidungen abgehängt werden. Ändern sich Geschäftsprozesse oder -modelle, muss verifiziert werden, ob die existierenden Schutzmaßnahmen noch passend sind. Eine regelmäßiger Austausch und eine enge Vernetzung mit den Entscheidern aus den Geschäftsbereichen ist deshalb Pflicht. Nur so lässt sich auch klären, was die kritischen Informationen in einem Unternehmen sind und wo diese liegen. Die Antwort darauf muss zu jeder Zeit klar sein, denn sie ist die Grundlage, um den angemessenen Schutz dieser Informationen zu gewährleisten.

Dokumentation, der Retter in der Not

3.) Werden Schutzmaßnahmen mit Hilfe eines dokumentierten Vorgehens umgesetzt?
Sind Ressourcen knapp, besteht oft die Gefahr das die Dokumentation vernachlässigt wird. Verständlicherweise. Aber dies rächt sich bitter, wenn Verantwortung auf wenigen Schultern ruht. Denn stehen Know-how-Träger nicht zur Verfügung, ist Dokumentation oft das rettende Fangnetz.

Die Kunst der Budgetplanung

4.) Wird in Budgetplanungen klar dargelegt, welches Risiko mit welcher Lösung adressiert wird und in welcher Weise es abgeschwächt wird?
ROI-Rechnungen führen zu Transparenz gegenüber dem Management und Budgets die klar mit einem Risiko verknüpft sind, werden in der Regel nicht leichtfertig gestrichen.
Wichtig: Budgetplanungen sollten alle Kosten einer Schutzmaßnahme enthalten, also auch für deren Betrieb und Unterhalt und nicht nur die Kosten für deren Anschaffung und Implementierung. Nur so ist gewährleistet, dass auch der gewünschte Mehrwert erzielt wird.

Aktivierung bestehenden Potentials 

5.) Welche bestehenden Lösungen können wir verwenden, um die Risikosituation unseres Unternehmens zu verbessern?
Oft liegt Potential brach oder ließe sich mit relativ geringem Invest aktivieren. Sei es die bestehende Firewall, mit der Netze segmentiert werden könnten, die einen unterschiedlichen Schutzbedarf haben oder Lizenz eines SIEM-Systems die marginal erweitert werden müsste, um die Systeme des neuen Fachbereiches anbinden zu können. Oft existieren Dutzende dieser Low-Hanging-Fruits in einem Unternehmen. Die Herausforderung ist es sie zu finden und zu pflücken.

 

Schreibe einen Kommentar