Suchen

Risikomanagement-Strategie für die Lieferkette

Mehr Sicherheit in der Supply Chain

Seite: 3/3

Firmen zum Thema

Wahrscheinlichkeit und Konsequenzen des Verlusts verschiedener Informationstypen abschätzen

Außerdem müssen sie abschätzen, wie wahrscheinlich der Verlust einzelner Informationen ist und welche Folgen dies hätte. Welcher Geschäftsbereich wäre von einem Verlust, kurz- oder langfristiger Nichtverfügbarkeit oder einer nicht beabsichtigten Veröffentlichung wie betroffen?

Diese Überlegungen dürfen nicht an der Firmengrenze halt machen, sondern müssen auch die Supply Chains einbeziehen: Wie sehen die Informationsverflechtungen aus? Welche Informationen werden mit wem geteilt, wer hat potenziell Zugriff und wer muss unbedingt darauf zugreifen können und wer nicht? Abhängig von der Branche oder der Art der Geschäftspartner kann das Risiko für unterschiedliche Informationstypen stark variieren.

Bildergalerie

Ein solcher informationszentrierter Ansatz macht es Unternehmen einfacher, die besonderen Charakteristika der Datensicherheit in ihrem „Supply Net“ zu identifizieren und die Sicherheit ihrer Informationen nach und nach immer weiter zu verbessern.

Mit einem genauen Verständnis über ihren Status-quo und ihre Informationsverflechtungen können sie eine wirksame Strategie für den Umgang mit ihren individuellen Risiken umsetzen. Dazu gehört beispielsweise die Implementierung verschiedener Standards wie ISO/IEC 27002, ISO/IEC 27036 oder der Standard of Good Practice (SOGP) des Information Security Forum.

Ergänzendes zum Thema
Checkliste
So machen Sie Ihre Organisation und die Geschäftsprozesse widerstandsfähig
  • Daten nach Bedeutung kategorisieren: Bei zunehmender Datenmenge benötigen Unternehmen vor allem Klarheit, welche ihrer Daten geschäftskritisch sind und deshalb eines besonderen Schutzes bedürfen.
  • Wissen, wo sich die Informationen befinden: Unternehmen müssen wissen, wo sich welche Daten befinden und wie sie dort geschützt sind. Trends wie Bring your own Device (BYOD) oder Bring your own Cloud (BYOC) erschweren diese Aufgabe.
  • Kunden, Lieferanten und Service Provider berücksichtigen: Beim Thema Sicherheit müssen Unternehmen auch ihre Verflechtungen mit Kunden, Lieferanten oder Service Providern berücksichtigen. Sie sollten sorgfältig prüfen, welche Daten mit Externen geteilt werden müssen und wie das am sichersten möglich ist.
  • Informationssicherheit wie andere Geschäftsrisiken behandeln: Aufgrund der existenziellen Bedeutung sollten Unternehmen die IT- und Informationssicherheit genauso wie andere Geschäftsrisiken behandeln und deshalb als festen Bestandteil in ihr Risikomanagement und ihre Geschäftsprozesse aufnehmen.
  • Sicherheitsmaßnahmen regelmäßig überprüfen: Gefahren und Risiken für geschäftskritische Informationen ändern sich. Die Sicherheitsstrategie muss deshalb regelmäßig auf den Prüfstand.
  • Informationssicherheit zur Chefsache machen: IT- und Informationssicherheit sind keine rein technische Angelegenheit mehr. Das Thema sollte deshalb im Unternehmen auf höchster Ebene aufgehängt sein.
  • Mitarbeiter einbinden: Informationssicherheit ist ein „People Business“ und erfordert permanente Aufmerksamkeit des gesamten Unternehmens. Eine entscheidende Rolle spielen die Mitarbeiter. Sie benötigen verbindliche Regeln und Handlungsempfehlungen für den Umgang und den Zugang zu den Geschäftsinformationen.
  • Mit anderen Unternehmen austauschen: Die meisten Unternehmen stehen beim Thema Sicherheit vor sehr ähnlichen Herausforderungen. So wie sie über eine Supply Chain miteinander verbunden sind, sollten sich Unternehmen deshalb regelmäßig zu Fragen der Informationssicherheit austauschen. Das ist keine Schwäche, sondern langfristig eine Stärke.

Bei allen Bemühungen dürfen Unternehmen eines nicht aus den Augen verlieren: Einen hundertprozentigen Schutz gibt es nicht. Es existieren einfach zu viele Unwägbarkeiten im weitverzweigten Netz von Lieferanten, Kunden und Partnern, in dem Unternehmen heute miteinander verbunden sind. Sie sollten stattdessen versuchen, ihre Wiederstandfähigkeit zu erhöhen, damit ein Zwischenfall möglichst geringe Folgen für die Organisation und die laufenden Geschäftsprozesse hat.

Über den Autor

Steve Durbin ist Managing Director des Information Security Forums in London (UK).

Der Beitrag erschien zuerst auf unserem Schwesterportal MM MaschinenMarkt.

(ID:42841682)