Die zunehmende Vernetzung der Unternehmen, die Globalisierung der Geschäftsbeziehungen und die Auslagerung von IT-Services an externe Dienstleister (Outsourcing), führen in zunehmendem Maße zu regional oder global verteilten IT-Strukturen.
Das Ziel der vorliegenden Seminararbeit ist die Analyse der Herausforderungen und der Anforderungen, die an ein IT-Sicherheitsmanagement für verteilte Unternehmen gestellt werden. Dabei gilt es, nicht nur die technischen Sicherheitsvorkehrungen zu untersuchen, sondern ein integriertes Gesamtkonzept von der Strategie über die Prozesse, hin zur Sicherheitskultur in Betracht zu ziehen.
Eine besondere Rolle kommt dabei auch der Etablierung eines allgemeinen Sicherheitsbewusstsein als Leitbild und Teil der Unternehmenskultur zu ("Security Awareness").
Inhaltsverzeichnis
1. Einleitung
2. Besondere Herausforderungen an die IT-Sicherheit in verteilten Unternehmen
2.1 Abgrenzung von verteilten Unternehmen als Gestaltungsobjekt
2.2 Definition, Ziele und Aufgaben von IT-Sicherheitsmanagement
3. Gewährleistung von IT-Sicherheit in verteilten Unternehmen im Rahmen eines integrierten Gesamtkonzeptes
3.1 Anforderungen an das IT-Sicherheitsmanagement in verteilten Unternehmen
3.2 Konzeption eines ganzheitlichen IT-Sicherheitsmanagements für verteilte Unternehmen
4. Fazit und kritische Würdigung
Zielsetzung & Themen der Arbeit
Die vorliegende Arbeit analysiert die spezifischen Herausforderungen und Anforderungen, die sich für das IT-Sicherheitsmanagement in räumlich verteilten Unternehmen ergeben. Ziel ist es, ein integriertes Gesamtkonzept zu entwickeln, das über rein technische Maßnahmen hinausgeht und strategische, prozessuale sowie kulturelle Dimensionen der IT-Sicherheit in einer Netzwerkorganisation miteinander verknüpft.
- Analyse der Besonderheiten und Risiken verteilter IT-Strukturen
- Dimensionen des IT-Sicherheitsmanagements (Strategie, Prozesse, Technologie)
- Bedeutung der Unternehmenskultur und des menschlichen Faktors (Security Awareness)
- Wirtschaftlichkeitssteuerung und kontinuierliche Qualitätsverbesserung
Auszug aus dem Buch
3.2 Konzeption eines ganzheitlichen IT-Sicherheitsmanagements für verteilte Unternehmen
Aufbauend auf den Anforderungen, kann nun die Erstellung eines Gesamtkonzeptes für das IT-Sicherheitsmanagement in verteilten Unternehmen erfolgen, welches sich an Hand der beschriebenen Dimensionen IT-Sicherheitsstrategie, Prozesse und Technologien, gliedern lässt.
Auf der Ebene der IT-Sicherheitsstrategie gilt es zunächst, im Rahmen einer Strukturanalyse einen Netztopologieplan zu generieren, der eine Übersicht der im Unternehmen verwendeten IT-Komponenten und deren Vernetzung beinhaltet. Unter IT-Komponenten sind neben der Hard- und Software auch organisatorische Regelungen und Konzepte, sowie die beteiligten Personen und Rollen, wie z.B. das IT-Sicherheitsmanagement zu erfassen. Bei der Durchführung der Strukturanalyse kommen häufig sog. Discovery Tools zum Einsatz, mit deren Hilfe eine weitgehend automatisierte Systemvermessung erfolgen kann. Die Ergebnisse der Strukturanalyse werden zweckmäßigerweise in einer CMDB hinterlegt und regelmäßig aktualisiert. In verteilten Unternehmen liegt das Hauptaugenmerk der Strukturanalyse auf den Vernetzungen von entfernten Unternehmensteilen untereinander (z.B. internetbasierten WAN Anbindungen, Mietleitungen / Direktverbindungen, etc.). Für die im Rahmen der Strukturanalyse identifizierten IT- und Kommunikationssysteme, wird anschließend eine Schutzbedarfsermittlung durchgeführt, die sich an den möglichen Schäden hinsichtlich Integrität, Vertraulichkeit und Verfügbarkeit orientiert und die IT- und Kommunikationssysteme ggf. in verschiedene Schutzbedarfsstufen einteilt. Häufig kommen anschließend internationale oder nationale Standard-Regelwerke wie z.B. der BSI Grundschutz-Katalog zum Einsatz, in denen Standard-Sicherheitsmaßnahmen für typische IT- und Kommunikationssysteme, Geschäftsprozesse und Anwendungen empfohlen werden. Erscheint dieser Grundschutz als nicht ausreichend, z.B. für IT- oder Kommunikationssysteme mit einem sehr hohen Schutzbedarf, kann eine Risiko- und Bedrohungsanalyse für diese Systeme notwendig werden.
Zusammenfassung der Kapitel
1. Einleitung: Diese Einleitung erläutert die zunehmende Relevanz von IT-Sicherheit durch globale Vernetzung und Outsourcing und definiert das Ziel, ein ganzheitliches Konzept für verteilte Unternehmen zu erarbeiten.
2. Besondere Herausforderungen an die IT-Sicherheit in verteilten Unternehmen: Das Kapitel definiert den Begriff des verteilten Unternehmens und erörtert die spezifischen Risiken und Komplexitäten, die durch geografische Distanz und heterogene IT-Strukturen entstehen.
3. Gewährleistung von IT-Sicherheit in verteilten Unternehmen im Rahmen eines integrierten Gesamtkonzeptes: Dieser Hauptteil entwickelt ein umfassendes Konzept, das Strategien, technische Lösungen und organisatorische Maßnahmen wie Security Awareness und Wirtschaftlichkeitssteuerung integriert.
4. Fazit und kritische Würdigung: Das Fazit resümiert die Notwendigkeit eines ganzheitlichen Ansatzes und unterstreicht die zentrale Rolle der Unternehmenskultur für ein angemessenes Sicherheitsniveau.
Schlüsselwörter
IT-Sicherheitsmanagement, verteilte Unternehmen, Netzwerkorganisation, IT-Sicherheitsstrategie, Informationssicherheit, Netzwerksicherheit, Security Awareness, Risikomanagement, IT-Governance, Wirtschaftlichkeitssteuerung, Geschäftsprozesse, Schutzziele, Vertraulichkeit, Integrität, Verfügbarkeit.
Häufig gestellte Fragen
Worum geht es in der Arbeit grundsätzlich?
Die Arbeit beschäftigt sich mit den besonderen Herausforderungen der IT-Sicherheit in Unternehmen, die über mehrere Standorte verteilt sind, und entwirft ein Modell für ein integriertes Sicherheitsmanagement.
Was sind die zentralen Themenfelder?
Die zentralen Felder sind die strategische Ausrichtung der IT-Sicherheit, die Implementierung prozessualer und technischer Sicherheitsstandards sowie die Förderung einer sicherheitsbewussten Unternehmenskultur.
Was ist das primäre Ziel der Arbeit?
Das primäre Ziel ist die Analyse notwendiger Anforderungen und die Herleitung eines Gesamtkonzepts, das technologische, organisatorische und menschliche Aspekte der IT-Sicherheit in verteilten Strukturen vereint.
Welche wissenschaftliche Methode wird verwendet?
Es handelt sich um eine theoretisch orientierte Seminararbeit, die auf einer Analyse bestehender Konzepte, Managementmodelle (wie ITIL/COBIT) und fachspezifischer Literatur basiert.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die Identifikation der Herausforderungen für verteilte Strukturen und die detaillierte Konzeption eines ganzheitlichen IT-Sicherheitsmanagements entlang der Dimensionen Strategie, Prozesse und Technologien.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wichtige Begriffe sind IT-Sicherheitsmanagement, verteilte Unternehmen, Security Awareness, IT-Sicherheitsstrategie und Schutzziele.
Warum ist das "Offshoring" eine Herausforderung für die IT-Sicherheit?
Durch die Auslagerung von Diensten in andere Länder entstehen komplexe Abhängigkeiten und verschiedene Sicherheitsniveaus, die über ein WAN verbunden werden müssen, was die Angriffsfläche für Sabotage und Cyber-Attacken vergrößert.
Welche Rolle spielt die Unternehmenskultur beim Schutz von IT-Systemen?
Die Kultur ist entscheidend, da sie das Verhalten der Anwender maßgeblich beeinflusst. Ein hohes Sicherheitsbewusstsein (Security Awareness) ist notwendig, um zu verhindern, dass Mitarbeiter aus Bequemlichkeit oder Unwissenheit Sicherheitsregeln missachten.
Warum ist eine rein technische Lösung nicht ausreichend?
Technische Schutzmaßnahmen allein können den komplexen Anforderungen verteilter Organisationen nicht gerecht werden; es bedarf ergänzend organisatorischer Regelungen, strategischer Führung und der Einbeziehung des menschlichen Faktors.
- Citar trabajo
- Stefan Schauf (Autor), 2015, IT-Sicherheitsmanagement in verteilten Unternehmen, Múnich, GRIN Verlag, https://www.grin.com/document/309260
