Und nochmal Datenschutz: Wie strukturieren Sie im Unternehmen die TOMs? Wir schauen uns gemeinsam an, was bei den TOMs wichtig ist.
Teil III: Organisation der Informationssicherheit
Ein Unternehmen muss seine Prozesse durch interne Vorgaben und Regeln gestalten. Teilweise sind das relativ banale Dinge, wie eine Nutzerordnung oder eine Passwortrichtlinie. Welche Regeln und vor allem welche Inhalte der Regeln wollen Sie als zukünftige Expertin oder zukünftiger Experte für Informationssicherheit Ihrem Unternehmen empfehlen? Sie lernen in diesem Teil, was Sie regeln sollen und wie Sie es regeln sollen.
Wer hat im Unternehmen welche Aufgaben in der Informationssicherheit? Vom Chef über den Informationssicherheitsbeauftragten und den IT-Leiter bis zur Nutzerin, jede und jeder trägt seinen Teil zur Bewältigung der Aufgabe »Informationssicherheit« bei.
Wie machen Sie eine Risikoanalyse? Was sind die Kronjuwelen im Unternehmen? Was dürfen die Nutzerinnen? Wie gehen Sie mit Sicherheitsvorfällen um? Mit all diese Fragen beschäftigen wir uns in diesem dritten Teil.
Eine der wichtigsten organisatorischen Fragen beschäftigt sich mit der alten Frage: »Wie sag ich es meinen Mitarbeitern?« Awareness und Schulung sind wichtige Maßnahmen, die Sie kennenlernen werden.
Teil IV: Bausteine der technischen IT-Sicherheit
Im vierten Teil, zugegeben ein ziemlich anspruchsvoller Abschnitt, spielen die technischen Grundlagen der IT-Sicherheit die Hauptrolle. Einen breiten Raum nehmen die Grundlagen der Verschlüsselung ein. Ganz ohne Mathematik geht es nicht, aber die Anschaulichkeit steht im Vordergrund.
Ein weiteres wichtiges Thema ist die Biometrie. Eine Anmeldung am Smartphone mit Fingerabdruck oder Gesichtserkennung haben Sie bestimmt schon gemacht. Türöffnung im Sicherheitsbereich mit Iris-Scan ist in manchen Rechenzentren Pflicht. Sie lernen die Grundlagen der Biometrie kennen und wir schauen uns auch die damit verbundenen Risiken an.
Außerdem beschäftigen wir uns noch mit Chipkarten und Sicherheitstoken. Vom neuen Personalausweis über die Girocard bis zur SIM-Karte im Smartphone haben Sie sicher schon persönliche Erfahrungen gemacht im Umgang mit den kleinen Geräten. Wir schauen uns an, wie sie funktionieren und was sie können.
Teil V: Lösungen und Umsetzungen
Aufbauend auf den Bausteinen, die Sie im vierten Teil kennengelernt haben, schauen wir uns dann die Lösungen zur IT-Sicherheit an. Backup, Verschlüsselung von Daten auf Datenträgern und bei der Übertragung, Netzwerksicherheit, Firewalls und Zugangssicherung sind Lösungen, die Sie kennenlernen werden.
Wie überwachen und messen Sie die IT-Sicherheit im Unternehmen? Was sind geeignete Metriken, um die Qualität Ihrer IT-Sicherheit zu messen? Was ist ein Patch-Management? Sie wollten sicher immer schon mal wissen, wie eine Blockchain funktioniert und was es mit Künstlicher Intelligenz auf sich hat. Auch das werden Sie in diesem Teil lernen.
Alle diese Lösungen dienen zur technischen Unterstützung der organisatorischen Prozesse im Unternehmen.
Teil VI: Der Top-Ten-Teil
Im Top-Ten-Teil geht es nochmal um die wichtigsten Begriffe und die wichtigsten organisatorischen und technischen Maßnahmen. Quasi das Take-away in aller Kürze.
Symbole, die in diesem Buch verwendet werden
Neben dem Fernglas finden Sie Beispiele, die Ihnen helfen, das Gelernte an einer konkreten Situation besser zu verstehen.Neben der Lupe finden Sie Definitionen von Begriffen. Häufig stammen diese aus offiziellen Normen, Standards oder Gesetzen.
Wenn Sie erst in das Thema einsteigen und noch nicht so viele Erfahrungen haben, hilft der eine oder andere Tipp.
Bevor Sie einen typischen Fehler machen oder einem gängigen Irrtum unterliegen, lesen Sie die mit diesem Symbol gekennzeichneten Warnungen.
Manchmal erzählen wir Ihnen eine Anekdote. Im Gegensatz zu einem Beispiel ist es nicht das Hauptziel einer Anekdote, Sie beim Verstehen eines Sachverhalts zu unterstützen, sondern sie gibt eine Erklärung zum Hintergrund oder zur Entstehung eines Aspekts oder auch spannende Einblicke in das reale Leben der IT-Sicherheit.
Konventionen in diesem Buch
In diesem Buch verwenden wir aus Gründen der Lesbarkeit für Rollen sowohl die männliche als auch die weibliche Form. Dazu haben wir für alle Rollen jeweils ein Geschlecht definiert und verwenden dies dann durchgehend: der Informationssicherheitsbeauftragte, die Datenschutzbeauftragte, der Angreifer, die Nutzerin. Des Weiteren verwenden wir den Begriff »Unternehmen« und meinen damit jeweils sowohl Organisationen beliebiger Rechtsform wie Unternehmen jeder Art, aber auch Behörden, Universitäten, Forschungseinrichtungen, Vereine und so weiter.
Wir verwenden in diesem Buch die folgenden Begriffe und orientieren uns dabei an den Formulierungen des BSI-Grundschutz-Kompendiums:
»MUSS« oder »DARF NUR«: Diese beiden Formulierungen werden verwendet, wenn etwas unbedingt getan werden muss, da es vorgeschrieben ist. In diesem Fall gibt es eine rechtliche Vorschrift (zum Beispiel die DS-GVO oder das BSI-Gesetz), die die Maßnahme verlangt.
»DARF NICHT« oder »DARF KEIN«: Diese beiden Formulierungen beschreiben das Gegenteil, dass etwas auf keinen Fall getan werden darf, da es zum Beispiel gesetzlich oder regulatorisch (zum Beispiel im Strafgesetzbuch) untersagt ist.
»SOLLTE«: Diese Formulierung besagt, dass es geboten ist, etwas zu tun. Es kann jedoch gute Gründe geben, es trotzdem nicht zu machen. Diese Abweichung muss gut überlegt und nachvollziehbar begründet werden. Außerdem ist die Ausnahme ausführlich zu dokumentieren.
»SOLLTE NICHT« oder »SOLLTE KEIN«: Diese Formulierung besagt, dass nicht geboten ist, etwas zu tun. Es kann jedoch gute Gründe geben, es trotzdem zu machen. Diese Abweichung muss gut überlegt und nachvollziehbar begründet werden. Außerdem ist die Ausnahme ausführlich zu dokumentieren.
»KANN«: Diese Formulierung besagt, dass etwas getan werden kann oder auch nicht. Weder für die eine noch die andere Option ist eine explizite Begründung erforderlich.
Wie es weitergeht
Wir hoffen, Sie sind jetzt richtig neugierig geworden und fangen gleich an zu lesen!
Wenn Sie Informationssicherheit dauerhaft betreiben wollen, dann dürfen Sie nach dem Durcharbeiten dieses Buches nicht aufhören. Die technischen Herausforderungen ändern sich ständig. Ständig werden neue Angriffstechniken СКАЧАТЬ