1/14
Ist sich Ihr Management-Team über die Notwendigkeit des Informationsschutzes bewusst?
Herrscht in Ihrem Unternehmen ein Bewusstsein für die Gefährdung durch Risiken? Herrscht ein Bewusstsein dafür, dass sich die Bereiche IT-Sicherheit und Informationssicherheit überschneiden, aber nicht dasselbe sind?
2/14
Haben Sie einen Überblick über alle Informationen, die Sie schützen sollten?
Hierzu gehören beispielsweise Informationen, die in Cloud-Diensten (Office, G-Suite) oder in Tools wie Salesforce, Pipedrive, Workday, Cognos und Slack gespeichert werden. Darunter fallen auch Prototyping-Tools wie Figma und Miro oder andere cloudbasierte Tools und Plattformen, die Ihr Team verwendet. Weiterhin dazu gehören u. a. Informationen auf Servern, Informationen, die bei Subunternehmern/Lieferanten liegen oder Informationen, die Sie von Kunden erhalten.
3/14
Ist Ihnen bekannt, wo sich jede von Ihnen geschützte Information befindet oder wo sie gespeichert ist?
4/14
Kennen Sie die Risiken, denen Ihre Informationen ausgesetzt sind?
Dazu gehören natürliche/physikalische Risiken, technische Risiken, Rechtsrisiken, Vertragsrisiken, Compliance-Risiken und finanzielle Risiken.
5/14
Sind Sie sich der Auswirkungen bewusst, die ein Informationssicherheitsvorfall, eine Sicherheitsverletzung oder ein Angriff auf Ihre Organisation haben könnten?
Das könnte z. B. ein beträchtliches finanzielles Risiko sein, wenn es etwa zu einer Vertraulichkeitsverletzung kommt, wenn Informationen nicht mehr verfügbar sind (Serverabsturz, Cloud-Dienst nicht verfügbar) oder wenn Informationen nicht vertrauenswürdig sind (im Falle einer Verfälschung). Wie würden Sie in solchen Fällen den potenziellen Schaden für Ihre Organisation beziffern?
6/14
Wissen Sie, wie Sie diese Risiken mindern können?
Beispielsweise durch ein gesteigertes Bewusstsein für Maßnahmen zum Schutz von Daten in Cloud-Systemen, für Versicherungsmöglichkeiten oder dafür, wie der Betrieb weitergeführt werden kann, falls Dienste nicht mehr verfügbar sind?
7/14
Schulen Sie Ihr Team für ein gesteigertes Bewusstsein bzgl. der Notwendigkeit von Informationsschutz?
Können Sie mit gutem Gewissen sagen, dass Ihre Team-Mitglieder wissen, was zu tun ist, falls Informationen verloren gehen oder nicht mehr verfügbar sind?
8/14
Wissen Sie genau, wer in Ihr Büro kommt und es wieder verlässt?
Können Dritte, die nicht bei Ihnen arbeiten, Büro unbeobachtet betreten? Ist es gängige Praxis, dass die Raucher in Ihrem Team die Tür offen lassen? Für diejenigen, die von zu Hause aus arbeiten: Ist Ihre Hardware vor Besuchern und Kindern geschützt?
9/14
Wissen Sie genau, wer Zugriff auf die von Ihnen geschützten Informationen hat?
Wird bei Ihnen der Zugriff auf Computer, Services und physische Einrichtungen verwaltet? Ist Ihnen bekannt, wie Lieferanten und/oder Anbieter mit Ihren Daten umgehen?
10/14
Wie sicher sind Sie, dass Ihre Partner, Anbieter und Lieferanten Ihre Informationen angemessen schützen?
Haben Sie schon einmal einen wichtigen Lieferanten besucht? Haben Sie Verträge oder Vereinbarungen mit ihm getroffen?
11/14
Würden Sie einen Vorfall, eine Sicherheitsverletzung oder einen Angriff erkennen?
Als Yahoo! im September 2016 von der großen Passwortpanne berichtete, lag der eigentliche Vorfall bereits Ende 2014 vor und betraf über 500 Millionen Benutzerkonten von Yahoo!. Würden Sie hier schneller reagieren?
12/14
Verwenden Sie die geeigneten Präventivmaßnahmen, Tools oder Plattformen, um Ihre Informationen vor Vorfällen, Verstößen oder Angriffen zu schützen?
Zu den Grundlagen gehören Firewalls und Antiviren-Tools. Falls Sie eine Web-Plattform betreiben, haben Sie einen Penetrationstest durchgeführt? Haben Sie diesen kürzlich durchgeführt? Wie machen Sie Ihre Entwickler auf Sicherheitsempfehlungen aufmerksam, die sich auf die von ihnen verwendeten Open-Source-Bibliotheken auswirken?
13/14
Haben Sie Ihre Leitlinie für die Wiederherstellung nach einem Vorfall, einer Sicherheitsverletzung oder einem Angriff getestet?
14/14
Wissen Sie, welche Compliance-Anforderungen Sie gegebenenfalls erfüllen müssen?
Neben geltenden Datenschutzgesetzen sollten Sie auch darauf achten, wie Sie beispielsweise mit geistigem Eigentum oder mit Lizenzen umgehen. Auch sicherheitsrelevante Gesetze, die sich von Land zu Land unterscheiden, sollten Sie auf dem Schirm haben.