SIA KFI BLOG: ICT-Sicherheit/Ausfallsicherheit: Wichtigste Prozess-, Hardware- und Software-Massnahmen

Abstract, Ausgangslage

  •  Mit der zunehmenden ICT-Nutzung und anwachsenden ICT-Abhängigkeit ergeben sich mehrere sicherheits- und ausfallsicherheits-technische Anforderungen in der Organisation und in der ICT-Infrastruktur.
  • Vielfach sind PC-, Server- und Netzwerk-Umgebungen flexibel entstanden und teilweise unstrukturiert/undokumentiert weitergewachsen und erweitert worden im Laufe der Jahre.
  • Die teilweise dadurch entstandenen heterogenen ICT-Umgebungen mit unterschiedlichen Betriebssystemen / Update-Stand, Viren-Malware-Software, Hardware-Internet-Firewall, Daten-Sicherungs-Systemen, Alter (Ausfall-Risiko von Komponenten wie z.B. Festplatte), Garantie-Abdeckung, Dokumentations-Stand etc. bedürfen zunehmend strukturierte technische und planungs-technische Massnahmen.

Gegenmassnahmen, Empfehlungen:

  • Inventarisierung und Nachdokumentation von ICT-Mitteln (z.B. Alter, Garantie, Betriebssystem, Update-Level, Sicherheitseinstellungen, Daten-Sicherungs-Einstellungen)
  • Aufnahme der ICT bzw. firmenkritische ICT-Hauptbereiche in das interne Kontroll-System (z.B. IKS, RiskManagement)
  • Aufnahme der ICT als laufendes Traktandum in den Verwaltungsrat / Geschäftsleitung und Teil der Firmen-Strategie.
  • Kritische Ueberprüfung von der technischen und organisatorischen Tauglichkeit von Daten-Sicherungs-Systemen und Prozessen, inkl. Ueberprüfung der Wiederherstellbarkeit von Daten oder Systemen ab den verwendeten Sicherungs-Systemen und Sicherungs-Medien.
  • Definitionen von einfachsten oder auch umfassenden ICT-Ausfallszenarien (z.B. PC-Ausfall, Server-Ausfall, Netzwerk-Ausfall, Email-System-Ausfall, Internet-Unterbruch, Daten-Löschung, Daten-Verlust, Virenbefall) und deren organisatorischen und technischen Gegenmassnahmen. Diese Massnahmen und technischen Systeme müssen entsprechend auf deren Tauglichkeit uch überprüft werden können von Zeit zu Zeit.
    In Zusammenarbeit mit dem bestehenden ICT-Lösungsbetreuer müssten diese Themen bereits schon (zumindest teilweise) dokumentiert oder geklärt sein.
  • Definitionen von internen und auch externen dokumentierten Verantwortlichkeiten und Schnittstellen zu Hauptbereichen wie z.B. Daten-Sicherung, Dokumentation / Inventar, ICT-Sicherheit, ICT-Compliance, LifeCycleManagement. und ICT-Ausfallmassnahmen Viele dieser Disziplinen sind auch mittels Verträgen und Service Level Agreements effizient und auch professioneller abdeckbar durch externe spezialisierte ICT-Lösungsanbieter.
Advertisements