ISF veröffentlicht Ratgeber zur sicheren IT-Nutzung in Firmen

Das Information Security Forum (ISF) setzt sich für mehr Informationssicherheit und Risikomanagement ein und hat einen Ratgeber zur sicheren IT-Nutzung in Unternehmen veröffentlicht. Mit diesem sollen Firmen, das Verhalten der Mitarbeiter im Umgang mit der IT-Sicherheit verbessern. Unter anderem enthält der Ratgeber mit dem Titel “From Promoting Awareness to Embedding Behaviours” Tipps und Handlungsempfehlungen. Diese basieren auf bewährter Vorgehensweisen von ISF-Mitgliedsfirmen.

Mitglieder des ISF können den Bericht kostenlos beziehen. Über den Online-Shop des ISF können ihn aber auch Nicht-Mitglieder kaufen. Das ISF bietet für alle Interessierten eine kostenlose Zusammenfassung zum Download an.

Aus dem Ratgeber ist zu entnehmen, dass es nicht ausreicht Mitarbeiter nur für das Thema “Informationssicherheit” zu sensibilisieren. Man müsse vielmehr entsprechende Verhaltensweisen für den Umgang mit geschäftskritischen Daten verinnerlichen. Das passiere aber nur in wenigen Fällen. so Steve Durbin, Global Vice President des ISF. “Informationssicherheit wird häufig leider immer noch als rein technische Angelegenheit eingestuft. Viele Unternehmen haben zwar mittlerweile verstanden, dass Informations- und IT-Sicherheit vor allem ein ‘People Business’ ist, entsprechende Sensibilisierungsmaßnahmen münden aber noch viel zu selten in dauerhafte Verhaltensänderungen”.

Mit dem Leitfaden verfolgt das ISF das Ziel, IT-Verantwortlichen in Unternehmen aufzuzeigen, wie nicht nur das Bewusstsein für Informationssicherheit verbessert , sondern dieses auch in positives Verhalten umgewandelt werden kann. Unter anderem empfiehlt der Ratgeber risikogesteuerte Lösungsansätze im Hinblick auf die IT-Sicherheit zu entwickeln. Unternehmen sollen demnach darauf achten, dass jede Sicherheits-relevante Lösung einen direkten Bezug zu den jeweiligen geschäftskritischen Anforderungen aufweist und dabei mindestens ein zugehöriges Risiko adressiert. Darüber hinaus ist es wichtig, Bewertungskriterien aufzustellen, etwa um die Wertigkeit einer Sicherheitslösung messen zu können.

Bei der Einbindung von Sicherheits-relevanten Systemen und Prozessen müssen Unternehmen zudem darauf achten, dass diese so benutzerfreundlich wie möglich sind. Dem Bericht zufolge darf nicht der Fall eintreten, dass Mitarbeiter ihr Verhalten an komplexe Systeme und schwerfällige Prozesse anpassen müssen.

Des Weiteren befindet der Ratgeber eine universelle Ausbildung der Mitarbeiter im Hinblick auf positives Informationssicherheitsverhalten als nachteilig. Mit Blick auf die geschäftlichen Rahmenbedingungen sei das heute unmöglich.

Zudem müssten Unternehmen realistische Erwartungen an Mitarbeiter stellen. Diese können ihr Verhalten in Bezug auf Firmensicherheit nicht “über Nacht” ändern, sondern benötigen bis zur nachhaltigen Verinnerlichung drei bis fünf Jahre. Mitarbeiter mit positiven Verhaltensweisen sollten darüber hinaus belohnt werden. Mit inakzeptablem Verhalten müsse dagegen “auf konstruktive Weise” umgegangen werden.

[mit Material von Rainer Schneider, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de