Praxisgerechte Informations­sicherheit im VUCA-Zeitalter

Durch Globalisierung und Digitalisierung wird unsere Welt zunehmend komplexer. Das VUCA-Modell beschreibt die zunehmende Veränderung der heutigen Welt. Die Märkte und Anforderungen verändern sich rasch, daher müssen Unternehmen und ihre Führungskräfte agil handeln. Das Akronym VUCA steht für Volatility, Uncertainty, Complexity sowie Ambiguity.

Das VUCA-Modell:

V – Volatilität steht für Unbeständigkeit oder Unstetigkeit. Hier ist das veränderbare Marktumfeld eines Unternehmens mit schnellen Änderungen an Produkt und Dienstleistung gemeint. Große Veränderungen von verschiedenen Variablen sind möglich.

U – Uncertainty, also Unsicherheit. Oftmals können Erfahrungswerte aus der Vergangenheit nicht mehr sicher zur Planung und Vorhersagbarkeit herangezogen werden. Es muss daher rasch reagiert und es müssen schnell Entscheidungen getroffen werden, wo es nur begrenzte oder gar keine Erfahrungen gibt. Viele Szenarien sind möglich.

C – Complexity, also Komplexität. Es gibt unzählige Aspekte, Elemente, die miteinander vernetzt sind, Ebenen und verschiedene Arten von Systemen. Eine klare Abgrenzung ist oftmals nicht möglich – das macht alles sehr komplex.

A – Ambiguity steht für Mehrdeutigkeit und beschreibt, dass Situationen unterschiedlich bewertet werden können, dadurch sind keine einfachen bzw. klaren Erklärungen mehr möglich. Durch diese Mehrdeutigkeit liegt das Risiko vor, dass durch falsche Schlüsse falsche Entscheidungen getroffen werden.

VUCA steht für die Themenbereiche am Markt. Sie stellen die moderne Arbeits- und Business-Welt vor neuen Anforderungen und Herausforderungen. Das erfordert agile Ansätze im Management, im Leadership und in der Informationssicherheit.

Informationssicherheit ist ein Muss

Das Thema Cybersicherheit gehört auf eine neue Ebene gehoben. Mit Digitalisierung und zunehmender Vernetzung nimmt Gefahr zu. Cyberangriffe haben mehr und mehr Auswirkungen und darauf muss man eingehen: mit Risikoanalysen, -bewertungen und Setzung von dementsprechenden technischen und organisatorischen Maßnahmen.

Durch Teleworking und New Work muss auf IT-Sicherheit, Datenschutz und Datensicherheit mit Maßnahmen reagiert werden. Denn in einer solchen unbeständigen, unsicheren, komplexen sowie mehrdeutigen Welt – VUCA – müssen resiliente Systeme geschaffen werden. Dabei geht es um eine klare Festlegung de Verantwortlichkeiten und eine starke fachübergreifende Zusammenarbeit – im Unternehmen, aber auch unternehmens- und netzwerkübergreifend. Maßnahmen müssen gesetzt werden, Notfallpläne erstellt werden – dabei ist es wichtig, dass das gesamte Team informiert wird, es laufende Awareness-Trainings gibt und die Systeme und Abläufe regelmäßig getestet werden.

Für eine praxisgerechte Informationssicherheit im VUCA-Zeitalter haben hier MP2-Betriebsleiter Michael Bendl und Gerlinde Macho, MP2-Unternehmensführung, 4 mal 3 Maßnahmen zusammengefasst.

V – Volatilität

Wie kann in der Informationssicherheit der Volatilität entgegengewirkt werden? Denn es ändern sich Umfeld und Rahmenbedingungen in einer VUCA-Welt oftmals rasch und stark.

• Echtzeitüberwachung: Um rasch auf ungewöhnliche Ereignisse reagieren zu können, sind Systeme zur Echtzeitüberwachung von Netzwerkaktivitäten sowie Benutzerverhalten zu implementieren.
• Incident Response Plan: Ein Notfallsplan ist ein Muss in jeder Organisation. Es ist sicherzustellen, dass auf Sicherheitsvorfälle und unerwarteten Bedrohungen angemessen reagiert wird.
• agiles Sicherheitskonzept: Die Security-Maßnahmen sind laufend an die Gegebenheiten sowie ändernden Umstände, Bedrohungen und Technologien anzupassen.
  
  

U – Uncertainty

Bei einer hohen Ungewissheit die Zukunft einfach schwer vorauszusagen, daher müssen gezielte Maßnahmen gesetzt werden.

• Flexibles Risikomanagement: Führen Sie regelmäßig Risikoanalysen in Ihrem Unternehmen hinsichtlich Informationssicherheit durch – das betrifft die IT-Sicherheit, den Datenschutz und die Datensicherheit. Risiken müssen identifiziert und bewertet werden um passende Maßnahmen setzen zu können.
• Awareness & Schulungen: Wichtig ist ein großes Sicherheitsbewusstseins aller Mitarbeiter:innen, denn der Mensch ist Angriffsziel Nummer 1. Es müssen daher alle in das Thema miteinbezogen werden, auch jene, die über keinen fixen digitalen Arbeitsplatz verfügen. Unsere App MPloyee mach es möglich! Durch Information, Unterweisungen und Trainings ist das gesamte Team nicht nur stets gut informiert, sondern auch bestens geschult.
• Ausfallssicherheit: Machen Sie Back-ups – auch von Cloud-Diensten! Implementieren Sie redundante Systeme. Unsere IT-Expert:innen sind für Sie da.
  
  

C – Complexity

Eine hohe Komplexität bringt eine Vielzahl an unbekannter Aspekte mit sich, daher ist hier vorzusorgen.

• Sicherheitsrichtlinien: Klare und verständliche Sicherheitsrichtlinien für alle Mitarbeiter:innen und Benutzer:innen sind zu erstellen. Eine laufende Awareness und Security-Trainings sind dabei ein wichtiger Erfolgsfaktor.
• interdisziplinäre Zusammenarbeit: Beziehen Sie bei Informationssicherheit alle mit ein – intern & extern. Informationssicherheit ist nicht nur Sache der IT.
• Sicherheitsautomatisierung: Setzen Sie auf Automatisierung von Sicherheitsaufgaben. Dabei können Aufwand und Fehler verringert werden.
  
  

A – Ambiguity

Mehrdeutigkeit bringt die Gefahr mit sich, Informationen und Situationen unterschiedlich zu deuten. Daher sind gezielte Maßnahmen in technischer und organisatorischer Hinsicht umso wichtiger.

• Klassifizierung: Die Klassifizierung von Informationen, Daten und Vorfällen helfen in Sachen Informationssicherheit die Ambiguität zu minimieren.
• Simulation: Die Notfallpläne brauchen Simulation.
• Audits & Checks: Interne und externe Audits sowie Checks sind für ein ganzheitliches Informationssicherheitsmanagement unabdingbar. Implementieren Sie ein Informationssicherheitsmanagementsystem und halten Sie sich nach den Vorgaben der ISO 27001 in der neuen Version: ISO 27001:2022. Der Leitfaden ISO 27002 unterstützt mit konkreten Controls dabei.