Das Dilemma, dass ich hier sehe, betrifft vor allem mittelständische
Unternehmen. Denn, um dieser Flut an Sicherheitsrisiken Herr zu
werden, bedarf es erheblicher Anstregungen: organisatorisch,
technisch und personell. Und das kann sich ein mittelständisches
Unternehmen nur schwer leisten...
Man könnte meinen, dass ich für Outsourcing plädieren will. Dem ist
aber nicht so. Jeder mag den ihm passenden Schluss aus meinem
Kommentar ziehen.
Vielleicht wird es jetzt mal Zeit, das ganze Thema IT Sicherheit
systematisch anzugehen!
Ich hatte bei einem anderen Thema vorhin schon einmal geschrieben und
ich höre mich vielleicht auch an, wie eine gesprungene Schallplatte -
aber sei's drum:
"Was ich meine ist, dass [...] vom HQ aus, also Top-Down, mal
anfangen
sollte, Informationssicherheitsmanagement zu betreiben. Sinnig wäre
hierbei, BS7799 zu verwenden. Die meisten Lücken werden dabei früher
oder später offenkundig Evtl. kombiniert man das mit Scans
verschiedenster Ausprägung."
Das mag zunächst viel sein, was man da anpackt, aber letztlich sollte
jeder Unternehmer und Manager die TCO (Total Cost of Ownership) sehen
und die werden auf diesem Wege deutlich geringer sein, als wenn ich
vor mich hinfrickele. Die Technik kommt schon noch, nur mache ich mir
erstmal Gedanken. Wie heisst es doch: "Gute Vorbereitung ist die
halbe Miete"?
Ein dezenter Hinweis auf KontraG und Basel II sei auch noch
gestattet.
Wenn ich all diese Vorarbeit geleistet habe, dann kann ich mir
überlegen, was Sinn macht:
ein IDS oder ein IPS?
ein URL Blocker?
ein Content Security Filter gegen Aktive Inhalte?
ein Gateway und/oder Client Virenschutz?
ein Backup-Systeme?
ein Patch-Management-System?
eine "Applicationfirewall"?
einen IT Sicherheitsbeauftragten?
usw.
Das Thema Sicherheit ist komplex und unbeliebt, keine Frage. Der
eigene Admin so heroisch er auch sein mag, ist mit dieser
Themengesamtheit total überfordert. Oftmals kommt man um externe
Hilfe nicht herum, z.B. die Integralis.
Unternehmen. Denn, um dieser Flut an Sicherheitsrisiken Herr zu
werden, bedarf es erheblicher Anstregungen: organisatorisch,
technisch und personell. Und das kann sich ein mittelständisches
Unternehmen nur schwer leisten...
Man könnte meinen, dass ich für Outsourcing plädieren will. Dem ist
aber nicht so. Jeder mag den ihm passenden Schluss aus meinem
Kommentar ziehen.
Vielleicht wird es jetzt mal Zeit, das ganze Thema IT Sicherheit
systematisch anzugehen!
Ich hatte bei einem anderen Thema vorhin schon einmal geschrieben und
ich höre mich vielleicht auch an, wie eine gesprungene Schallplatte -
aber sei's drum:
"Was ich meine ist, dass [...] vom HQ aus, also Top-Down, mal
anfangen
sollte, Informationssicherheitsmanagement zu betreiben. Sinnig wäre
hierbei, BS7799 zu verwenden. Die meisten Lücken werden dabei früher
oder später offenkundig Evtl. kombiniert man das mit Scans
verschiedenster Ausprägung."
Das mag zunächst viel sein, was man da anpackt, aber letztlich sollte
jeder Unternehmer und Manager die TCO (Total Cost of Ownership) sehen
und die werden auf diesem Wege deutlich geringer sein, als wenn ich
vor mich hinfrickele. Die Technik kommt schon noch, nur mache ich mir
erstmal Gedanken. Wie heisst es doch: "Gute Vorbereitung ist die
halbe Miete"?
Ein dezenter Hinweis auf KontraG und Basel II sei auch noch
gestattet.
Wenn ich all diese Vorarbeit geleistet habe, dann kann ich mir
überlegen, was Sinn macht:
ein IDS oder ein IPS?
ein URL Blocker?
ein Content Security Filter gegen Aktive Inhalte?
ein Gateway und/oder Client Virenschutz?
ein Backup-Systeme?
ein Patch-Management-System?
eine "Applicationfirewall"?
einen IT Sicherheitsbeauftragten?
usw.
Das Thema Sicherheit ist komplex und unbeliebt, keine Frage. Der
eigene Admin so heroisch er auch sein mag, ist mit dieser
Themengesamtheit total überfordert. Oftmals kommt man um externe
Hilfe nicht herum, z.B. die Integralis.