Security Awareness in Ihrem Unternehmen etablieren – das Thema Informationssicherheit geht alle an

Awareness

Eine erfolgreiche Umsetzung einer Security Awareness-Kampagne ist nur dann möglich, wenn alle Mitarbeiter eines Unternehmens oder einer Institution direkt an ihrem Arbeitsplatz in diesen Prozess mit einbezogen werden. Voraussetzung hier ist eine generelle Verhaltensänderung der Mitarbeiter, die nur mittels eines durchdachten und langfristigen Prozesses erreicht werden kann. Durch eine sogenannte „Sensibilisierungskampagne“ sollte Mitarbeitern nahe gebracht werden, dass Informationssicherheit eine der Grundvoraussetzungen für den Erfolg ihres Unternehmens oder ihrer Organisation ist.

Schärfen Sie das Bewusstsein Ihrer Mitarbeiter für Informations-Sicherheit und schützen Sie so Ihr Know-how!

Kontaktieren Sie uns unter ism@m-und-h.de oder unter
+49 30 311889-9020, wir geben Ihnen mit Hilfe eines Schnelltests einen Überblick über Ihren Know-how-Schutz oder Ihre Informationssicherheitslage angelehnt an ISO 27001.

Jetzt Informationen anfordern!

Immer noch zu wenig mittelständische Unternehmen, „Hidden Champions“ etwa aus der Automobilbranche, aus Banken oder Unternehmen in der Gesundheitsbranche schützen ihre Informationen und damit ihr Kostbarstes – ihr Wissen. Gleichzeitig werden tagtäglich riesige Informationsmengen verarbeitet und teilweise arglos zwischen verschiedenen Stellen innerhalb und außerhalb des Unternehmens ausgetauscht. Wenn dabei Strategiepapiere, Konstruktionszeichnungen, Kundendaten, Kontounterlagen, Patientenakten, Patente oder Kreditkartendaten in falsche Hände geraten, hat dies nicht nur einen enormen Imageverlust zur Folge: Oft drohen auch rechtliche Konsequenzen und finanzielle Schäden.

Aufklärung und ein durchdachtes Informationssicherheitskonzept sind angeraten

Eine wirkungsvolle Aufklärungsmaßnahme als Teil einer umfassenden Strategie für mehr Awareness in Ihrem Unternehmen, auch im Sinne der eigenen Sicherheit,  und ein vernünftiges, durchdachtes IT-Sicherheitskonzept sind angeraten.

Wussten Sie, dass…

  • eine der größten Gefahrenquellen bei der Etablierung eines durchdachten IT-Sicherheitskonzeptes der Faktor Mensch ist?
  • der Faktor Mensch infolge mangelnden Risikobewusstseins fahrlässig oder unbewusst Sicherheitsregeln missachtet oder bewusst oder unbewusst als “Innentäter” agiert?

Wir bieten Ihnen Mitarbeiterschulungen zum Thema „Security Awareness“

Für Rückfragen zum Workshop stehen wir Ihnen selbstverständlich gern unter workshop@m-und-h.de  zur Verfügung!

Informieren Sie sich hier über unsere aktuellen M&H Academy IT-Sicherheits-Schulungen:

NovaPath schafft Security Awareness und sorgt für Know-how-Schutz – mit der Informationsklassifizierung und Protokollierung von Dokumenten

Der erste Schritt auf dem Weg zu einer Informationsklassifizierung ist die Identifizierung und Klassifizierung sensibler Informationen oder vertraulicher Unterlagen, damit diese entsprechend geschützt werden können. Dabei werden individuelle Berechtigungsstufen wie etwa Intern, Vertraulich oder Geheim definiert, die über die Softwarelösung NovaPath direkt bei der Dokumentenerstellung in der Microsoft Office-Umgebung durch den einzelnen Mitarbeiter vergeben werden.

Mit NovaPath klassifizierte Informationen können mit einem Digitalen Rechtemanagement gekoppelt werden. Der Vorteil: Das Unternehmen behält die Kontrolle darüber, welcher Nutzer welche Dateien öffnet, verschickt, ausdruckt oder speichert – zudem wird jeder Vorgang revisionssicher gespeichert.

Rechtliche Anforderungen für den Gebrauch von Datenschutzsoftware

Neben dem finanziellen Nutzen für das Unternehmen, gibt es eine Vielzahl von rechtlichen und regulatorischen Gesetzen, Vorschriften und Normen, die Vorgaben zur Dokumentensicherheit oder dem Datenschutz machen. Eine Auswahl relevanter Bedingungen haben wir für Sie auf dieser Seite zusammengestellt.

Gerne helfen wir Ihnen eine anforderungsgerechte und nachhaltige IT-Sicherheitsstrategie Compliance konform zu entwickeln und umzusetzen.

Bundesdatenschutzgesetz (BDSG) – §42a

Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Unternehmen sind verpflichtet, einen entdeckten Abfluss von bestimmten personenbezogenen Daten (z. B. Angaben über Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit oder Gesundheit) unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen.

Bei unverhältnismäßigem Aufwand bei der Benachrichtigung der Betroffenen hat eine Anzeige, die mindestens eine halbe Seite umfasst, in mindestens zwei bundesweit erscheinenden Tageszeitungen zu erfolgen.

IT-Grundschutz-Kataloge – Abschnitte M 4.345 & M 2.217

Eine wichtige Grundlage für die Dokumentensicherheit (DLP) ist die Klassifizierung aller geschäftsrelevanten Informationen gemäß ihres Schutzbedarfs (Einstufung und Umgang mit Informationen, Anwendungen und Systemen). Hierauf aufbauend muss geklärt werden, wer diese Informationen unter welchen Rahmenbedingungen bearbeiten, speichern und weiter senden darf und wie diese dabei zu schützen sind.

Während der Versand unkritischer Dateien per E-Mail erlaubt werden kann, könnte bei vertraulichen Dateien der E-Mail-Versand und das Kopieren auf mobile Datenträger wie USB-Sticks blockiert werden.

MaRisk 5.0

Prozesse, sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege, sind klar zu definieren und aufeinander abzustimmen. Dies beinhaltet auch die regelmäßige Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen. Das gilt auch bezüglich der Schnittstellen zu wesentlichen Auslagerungen.

Für wesentliche Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen hat das Institut Prozesse zu etablieren, die die Auswirkung der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität analysieren.

Mehr Informationen zu MaRisk.