Wie sicher ist mein Unternehmen?

Welchen Tipp würdest Du meinem Unternehmen im Hinblick auf die Informationssicherheit geben?  

Michael Russo: Es lohnt sich, sich seiner Sicherheitslücken bewusst zu werden und in die Informationssicherheit zu investieren. Ein Cyberangriff kann ein Unternehmen teuer zu stehen kommen. Ein guter Anfang ist die Sensibilisierung der Mitarbeiter für diese Thematik zu steigern. Oft nutzen Angreifer die Unwissenheit der Mitarbeiter, um Malware – z.B. über ein Phishing-E-Mail – in ein Unternehmen einzuschleusen.

Welche Schutzmassnahmen sind für KMUs besonders relevant?  

Der grösste Risikofaktor für jedes Unternehmen ist und bleibt der Mensch. Die Steigerung des Bewusstseins der Mitarbeiter für Cyberkriminalität ist aus meiner Sicht deshalb die erste und wichtigste Massnahme. Unternehmen müssen ihre individuellen Angriffspunkte erkennen, ihre Systeme kennen und sicherstellen, dass jemand die Verantwortung für deren Updates übernimmt.

Trotz aller Vorsicht, kann ein Angriff nicht ausgeschlossen werden. Es empfiehlt sich deshalb ein Business Continuity Plan (BCP), worin detailliert aufgelistet wird, welche Systeme unabdingbar sind und wie das Unternehmen im Notfall reagieren muss. Um die Konsequenzen eines Angriffs möglichst gering zu halten, eignen sich in jedem Fall Backups der wichtigsten Applikationen, welche zwingend ausserhalb des Firmennetzwerks gespeichert werden müssen.

Der grösste Risikofaktor für jedes Unternehmen ist der Mensch.

Michael Russo. CISO soxes AG

Was gehört zu Deinen Hauptaufgaben als Information Security Officer?  

Vorrangig pflege und erweitere ich unser Informationssicherheitsmanagementsystem (ISMS). Ich unterstütze dazu unsere Abteilungen mit folgenden Aufgaben:

• Risikoanalyse durchführen und Massnahmen festlegen
• Verbesserungsziele definieren und umsetzen
• Regelmässige Performanceprüfung mittels definierter KPI
• Regelmässige Kommunikation mit den internen Stakeholdern bezüglich Status des ISMS
• Ausbildungspläne für die Mitarbeiter erstellen
• Regelmässige Aktualisierung der Richtlinien und Prozessbeschreibungen

soxes hat dieses Jahr erneut die ISO/IEC 27001-Zertifizierung erhalten: Was bedeutet das genau?  

Die ISO/IEC 27001-Zertifizierung ist nicht eine einmalige Prüfung, die man besteht und dann vergisst. Die Einhaltung der Anforderungen wird jährlich von einem externen, akkreditierten Auditor überprüft. Ein besonderes Augenmerk wird dabei auf die laufende Verbesserung gelegt, welche von der ISO/IEC 27001 spezifisch verlangt wird. Das Schöne an dieser Anforderung ist, dass man nicht «perfekt» starten muss. Als Unternehmen stellt man sicher, dass alle Anforderungen erfüllt werden, sammelt dann Erfahrung bei der praktischen Anwendung und verbessert, was sich als ungeeignet oder ungenügend herausstellt.

Wie gut ist soxes im Umgang mit Cyber-Bedrohungen abgesichert?  

Mit der der ISO/IEC 27001 erhalten wir eine lange Liste von Referenzmassnahmen. Sie bietet einen umfassenden und grossartigen Rahmen für die Verbesserung der eigenen Sicherheit. Dank der Umsetzung dieser und einiger weiterer Massnahmen, fühlen wir uns mittlerweile sehr gut abgesichert. Wichtig ist aber, dass man sich nicht einfach zurücklehnt und ausruht. Wir bleiben wachsam und informieren uns laufend über die neusten, möglichen Sicherheitslücken und Bedrohungen.