Technische IT-Security für IT Security Manager
Von Cloud Computing über WLAN bis zu Penetrationstests
Nonfiction, Computers, Networking & Communications
| Author: | Thomas W. Harich | ISBN: | 9783958454439 |
| Publisher: | MITP | Publication: | November 22, 2018 |
| Imprint: | MITP | Language: | German |
| Author: | Thomas W. Harich |
| ISBN: | 9783958454439 |
| Publisher: | MITP |
| Publication: | November 22, 2018 |
| Imprint: | MITP |
| Language: | German |
IT-Security hat immer auch etwas mit IT-technischen Fragestellungen zu tun. Das trifft selbst dann zu, wenn die IT-Security-Organisation der Unternehmensleitung berichtet und wenn deren definierte Hauptaufgabe in der Richtlinienkompetenz und der Überprüfung von Vorgaben liegt. Wissen über die IT-Infrastruktur und die IT-Prozesse ist wichtig, um passende und praktikable Vorgaben festlegen zu können. Nur wenn der Manager IT-Security weiß, wie die Datenströme aussehen und welche IT-Systeme eine maßgebliche Rolle spielen, kann er Risiken zutreffend einschätzen und zielgerichtete Maßnahmen definieren. Dazu kommt, dass er in der Zusammenarbeit mit dem Datenschutzbeauftragten, der internen Revisionsabteilung und häufig auch mit dem IT-Leiter den Part einer beratenden Stelle einnimmt. Um diese Aufgabe adäquat leisten zu können, muss er sich intensiv mit der zugrunde liegenden Thematik auseinandergesetzt haben. Dieses "mitp bit" hilt Ihnen, die Antworten auf die folgenden Fragen zu finden: - Werden Entscheidungen dokumentiert, die der Manager IT-Security im Rahmen seiner Aufgaben trifft? Dazu gehören alle Maßnahmen und Ausnahmeregelungen und die jeweiligen Randbedingungen. Ein Beispiel wäre die Akzeptanz einer Ausnahmeregelung bezüglich der Installation einer ansonsten durch Richtlinien untersagten Software auf einem Arbeitsplatzrechner oder die Freigabe eines ungesicherten Downloads aus dem Internet. - Sind für die einzelnen technischen Aufgabenfelder entsprechende Richtlinien vorhanden? - Ist der Umgang der Mitarbeiter mit den Medien E-Mail und Internet geregelt? - Ist ein Prozess beschrieben, der dann greift, wenn ein Mitarbeiter ausscheidet und ein Zugriff auf seine E-Mail-Daten und anderen (persönlichen) Daten erforderlich wird? - Werden exponierte IT-Systeme regelmäßig in Bezug auf sicheres Betriebssystem, sichere Software und sichere Schnittstellen geprüft? Das betrifft im Besonderen alle IT-Systeme in einer »Demilitarisierten Zone« (DMZ), also Systeme, auf die aus dem Internet heraus zugegriffen wird.
IT-Security hat immer auch etwas mit IT-technischen Fragestellungen zu tun. Das trifft selbst dann zu, wenn die IT-Security-Organisation der Unternehmensleitung berichtet und wenn deren definierte Hauptaufgabe in der Richtlinienkompetenz und der Überprüfung von Vorgaben liegt. Wissen über die IT-Infrastruktur und die IT-Prozesse ist wichtig, um passende und praktikable Vorgaben festlegen zu können. Nur wenn der Manager IT-Security weiß, wie die Datenströme aussehen und welche IT-Systeme eine maßgebliche Rolle spielen, kann er Risiken zutreffend einschätzen und zielgerichtete Maßnahmen definieren. Dazu kommt, dass er in der Zusammenarbeit mit dem Datenschutzbeauftragten, der internen Revisionsabteilung und häufig auch mit dem IT-Leiter den Part einer beratenden Stelle einnimmt. Um diese Aufgabe adäquat leisten zu können, muss er sich intensiv mit der zugrunde liegenden Thematik auseinandergesetzt haben. Dieses "mitp bit" hilt Ihnen, die Antworten auf die folgenden Fragen zu finden: - Werden Entscheidungen dokumentiert, die der Manager IT-Security im Rahmen seiner Aufgaben trifft? Dazu gehören alle Maßnahmen und Ausnahmeregelungen und die jeweiligen Randbedingungen. Ein Beispiel wäre die Akzeptanz einer Ausnahmeregelung bezüglich der Installation einer ansonsten durch Richtlinien untersagten Software auf einem Arbeitsplatzrechner oder die Freigabe eines ungesicherten Downloads aus dem Internet. - Sind für die einzelnen technischen Aufgabenfelder entsprechende Richtlinien vorhanden? - Ist der Umgang der Mitarbeiter mit den Medien E-Mail und Internet geregelt? - Ist ein Prozess beschrieben, der dann greift, wenn ein Mitarbeiter ausscheidet und ein Zugriff auf seine E-Mail-Daten und anderen (persönlichen) Daten erforderlich wird? - Werden exponierte IT-Systeme regelmäßig in Bezug auf sicheres Betriebssystem, sichere Software und sichere Schnittstellen geprüft? Das betrifft im Besonderen alle IT-Systeme in einer »Demilitarisierten Zone« (DMZ), also Systeme, auf die aus dem Internet heraus zugegriffen wird.
