Direkt zum Hauptbereich

Notizen zum Lean Coffee Informationssicherheit in Verwaltungen, Nr. 2

Informationssicherheit ist die Voraussetzung für die weitere Digitalisierung in  Verwaltungsbereichen. Wenn Ihr Euch austauschen wollt, gibt es jetzt ein monatliches Lean Coffee, in dem Ihr Eure Fragen loswerdet und in dem Ihr Erfahrungen teilen könnt. Wenn Ihr wissen wollt, warum Kekse und Kaffee die wichtigsten Werkzeuge für den Aufbau eines ISMS sind, kommt gern zum nächsten Online-Lean-Coffee am 25.95.2022.

Zum Lean Coffee am 27.04.2022 trafen sich 10 Pioniere zu früher Stunde im Zoom-Land.

Foto: Fahmi Fakhrudin auf Unsplash
Wer die Einladung zum nächstenTermin nicht verpassen will, meldet sich entweder in der Xing-Gruppe an oder meldet sich direkt bei den Organisatoren Niklas Hirsch oder Jan Fischbach. Wir nehmen Euch dann in den Verteiler auf. 

https://www.xing.com/communities/groups/austausch-informationssicherheit-in-kommunen-und-der-verwaltung-46cb-1152817/

In dieser Runde favorisieren wir eine agile Herangehensweise an das Thema Informationssicherheit in Verwaltungen.

Erfahrungen mit Verinice

Verinice ist ein ISMS-Tool (https://verinice.com/), das aus dem GS-Tool des BSI hervorgegangen ist. Das Tool ist nützlich, um das Umsetzen von Maßnahmen aus dem BSI-Grundschutzkatalog zu verfolgen. Bei der Diskussion wird von verschiedenen Erfahrungen berichtet.

  • Es ist einfacher, erst einmal technische Maßnahmen umzusetzen, bevor man sich an die organisatorischen und personellen Maßnahmen wagt.
  • Eine Maßnahmenliste ergibt sich aus dem Analysieren der Risiken in der Organisation. Schön wäre es, wenn die Schnittstellen funktionierten: einige Daten lassen sich z. B. im CSV-Format importieren.
  • Wenn man anfängt, Excel- oder Word-Dokumente zu pflegen, verliert man schnell den Überblick. Bitte auch keine Verlinkungen auf Netzlaufwerke. Wenn sich die Pfade ändern, findet man nichts mehr wieder.
  • Einige Organisation nutzen externe Berater:innen. Externe bieten nicht nur den Vorteil der Arbeitsentlastung. Dadurch, dass diese Leute vor Ort sind und Geld kosten, entsteht Handlungsdruck. Interne Themen wie Informationssicherheit werden leicht zu Gunsten noch wichtigerer Themen geschoben. Eine kostengünstige Alternative: gegenseitig besuchen. So werden Themen sauber aufgearbeitet, um vor den Anderen ein gutes Bild abzugeben. Führungskräfte geben sich hier besonders Mühe.

Risikoanalyse(n): Trockenen BSI-Standard mit Praxis anreichern

Die Kenntnis der spezifischen Sicherheitsrisiken ist eine gute Grundlage für ein Sicherheitskonzept und entsprechendes, umfassendes System in einer Organisation. Die ISO-Norm 31000 bietet einen Standard für die Analyse von Risiken. Aber wie kommt man an eine Liste der Risiken?

Viele Organisationen teilen die gleichen Grundrisiken. Für die Gespräche mit den Fachabteilungen lohnt es, sich einen Standardkatalog von 5 bis 10 Fragen zu erstellen: z. B. "Was machen wir eigentlich wenn Eure wichtigste IT-Anwendung nicht funktioniert?" oder "Was muss passieren, dass Du 2 Wochen Urlaub bekommst?" Abstrakte Ideen fördern die Kreativität.

Die wichtigsten Tools für die Risikoanalyse sind daher Tee, Kaffee und Kekse, um eine gute Gesprächsatmosphäre zu schaffen. Auch wenn jemand denkt, sein Risiko ist vielleicht eine blöde Idee, ist jede Idee zu fördern. Es gibt keine falschen Risiken. Wir reden später über die Eintrittswahrscheinlichkeit.

Bereitstellung von Vorlagen/Templates institutionsweit - Doku-Organisation

Ein Großteil der Arbeit beim Aufbau eines ISMS liegt im Aufbau und Verabschieden von vielen Dokumenten (Leitlinien, Konzepte, Vorgaben, Checkliste usw.). Dafür brauchen die ISBs die Mithilfe verschiedener Leute aus der Organisation. Echtes Commitment gibt es nur, wenn man sich an den Themen der Leute orientiert, die mitarbeiten. Wenn man mit den Leuten spricht, merkt man, was sie beschäftigt.

Allerdings muss ein:e ISB immer zwischen diesen Themen und den technischen Themen, die oben auf der Liste stehen abwägen.

Sind die Fragebögen überhaupt aussagekräftig oder verständlich? Eine kurze Anleitung im Fragebogen oder eine kurze Zoom-Session zum Erklären erhöhen die Chancen, gute Antworten zu bekommen. Wenn man sich am Corporate Design orientiert, merken die Adressaten, dass die Dokumente alle aus dem gleichen Bereich kommen. 

Eine schöne Möglichkeit der Umsetzung bieten Open Spaces. Das ist ein offenes Großgruppenformat, bei dem die Agenda von den Anwesenden zu Beginn gemeinsam erstellt wird. In diesem Rahmen können dann die wichtigen Dokumente sofort erstellt werden.

Wie baue ich echte Awareness auf?

Der Aufbau eines ISMS wird oft von Maßnahmen begleitet, um ein Bewusstsein (engl. Awareness) für Sicherheit zu schaffen. Technische Themen lassen sich oft leichter umsetzen, als Kulturthemen. Kultur ist harte, unbequeme Arbeit. Nur wenn bei den Adressaten der Sinn auch herüberkommt, entwickeln diese eine echte Awareness. Ansonsten werden diese das wohl als Bevormundung wahrnehmen.

Mit Kennzahlen (z. B. Was ist der aktuelle Anteil von Phishing-E-Mails?) kann man die Awareness erhöhen. 

Zur Erinnerung: Awareness-Trainings sind verpflichtend. Und es reicht nicht, ein Thema nur einmal anzusprechen. Das Wiederholungsmoment ist wichtig. 

Für welche Themen brauchen wir wirklich eine Schulung mit max. 10-15 Minuten Input? Für welche Themen reicht eine einfache Checkliste?


Auch diesmal war die Zeit schnell um. Wir treffen uns das nächste Mal am 25.05.2022 von 8-9 Uhr.

 

Kommentare

Beliebte Posts aus diesem Blog

Wie lassen sich Ergebnisse definieren? - Drei Beispiele (WBS, CBP und BDN)

Ich habe schon darüber geschrieben, warum das Definieren von Ergebnissen so wichtig ist. Es lenkt die Aufmerksamkeit des Projektteams auf die eigentlichen Ziele. Aber was sind eigentlich Projektergebnisse? In diesem Beitrag stelle ich drei Methoden vor, um leichter an Ergebnisse zu kommen.

Teamleitungen gesucht

Was macht Teams erfolgreich? Kann man das lernen? Ab Herbst starten unsere Kurse für aktuelle und künftige Teamleitungen. Jetzt gibt es die Gelegenheit, den Kurs zu testen.

Microsoft Teams: Die neuen Besprechungsnotizen - Loop-Komponenten

  Haben Sie in letzter Zeit in einer Teams-Besprechung die Notizen geöffnet? Dort sind inzwischen die Loop-Komponenten hinterlegt. Die sind zwar etwas nützlicher als das, was zuvor zur Verfügung stand. Trotzdem ist noch Luft nach oben. Und es gibt sogar einige ernstzunehmende Stolperfallen. Hier ein erster, kritischer Blick auf das was Sie damit tun können. Und auch darauf, was Sie besser sein lassen.

Microsoft Copilot - Notebook, Pages, Agents und mehr

Es tut sich sehr viel an der Copilot Front. Gefühlt entwickelt Microsoft mit aller Kraft die KI-Anwendung weiter. Mit dem letzten Update hat sich die Microsoft-Startseite stark verändert. Hier zeige ich, was sich hinter all den Begrifflichkeiten verbirgt und was davon alltagstauglich ist.

Nachschau zum Lean Coffee-Spezial "Agil einfach machen" (Interaktive Buchvorstellung)

Bei unserem Lean Coffee-Spezial Ende Mai waren wir von Lean Coffee Karlsruhe/Frankfurt Zeugen einer Buchvorstellung, doch nicht nur das – natürlich gab es auch einen nicht unbeträchtlichen Anteil an eigener Aktion, denn bei unseren Spezialterminen ist traditionell „Teilgabe“ angesagt. Das Autorenduo Christian Baron und Janick Oswald zeigte uns, was es mit „Agil einfach machen“ auf sich hat.  

Wenn es mal gerade etwas schwierig bei Kund:innen wird… Zwei Fragen, die uns helfen, unsere Strategie mit unseren Kund:innen abzusprechen.

Seit 2024 organisieren Bob Galen und ich eine Masterclass für agile Coaches. Wir möchten die Ausbildung von agilen Coaches verbessern und ihnen Techniken mitgeben, mit denen sie bei ihren Kund:innen etwas einfacher haben. Bisher haben wir in vier Durchgängen mit jeweils 14 Modulen ungefähr 70 Extraordinarily Badass Agile Coaches ausgebildet (/1/). In diesem Blogpost möchte ich ein paar Erfahrungen und simple Techniken aus der Masterclass teilen, wie wir unsere Strategie besser abstimmen können. Sie beschränken sich nicht auf agiles Coaching – das ist nur das Setting.

Kleine Organisationsveränderungen, die direktes Feedback erzeugen

Große Veränderungen sind in einer Organisation schwer zu messen. Oft liegt zwischen Ursache und Wirkung ein langer Zeitraum, sodass die Umsetzer:innen nicht wissen, was genau gewirkt hat. Hier ist eine Liste mit kleinen Maßnahmen, die schnell etwas zurückmelden.

Schätzungen sind schätzungsweise überschätzte Schätze

"Wer viel misst, misst viel Mist." Zumindest ist diese Gefahr gegeben. Entweder misst man z. B. Mist, weil man zu früh zu KPIs zur Messung von Ergebnissen greift, oder aber man greift zu den falschen KPIs, die gar nicht das messen, was man wissen möchte. Einst war agiles Arbeiten der alternative Ansatz, aber inzwischen gibt es auch für einige Details dessen, was in Konzernen als "agil" praktiziert wird, einleuchtende alternative Ideen, die bis heute noch nicht so richtig auf die große Bühne vorgedrungen zu sein scheinen. 

Agil sein heißt nicht, unternehmerisch zu denken

 Die Diskussion, ob Agilität ein „Hype“ war, der nun vorüber ist. Ob wir schon im „Post-agilen Zeitalter“ leben. Und wenn ja, wer dafür verantwortlich ist: diese Diskussion nehme ich jetzt schon seit etwa anderthalb Jahren wahr, und sie geht auch aktuell weiter. In meiner Branche wird Agilität weiter gebraucht Ich bin in der speziellen Situation, dass ich beruflich aus dem öffentlichen Dienst komme und auch seit meinem Ausscheiden vor 15 Jahren weiterhin vor allem Kunden im öffentlichen Bereich berate. Also auf einem Parkett, das normalerweise nicht mit den Anliegen des Agilen Manifests verbunden wird: der Produktion von Software für gewerbliche Kunden in einem unsicheren Umfeld. Auf diesem scheinbar „exotischen“ Feld hat sich in den vergangenen sechs bis acht Jahren bei vielen Verwaltungen die Erkenntnis verbreitet, dass agile Vorgehensweisen bei den anstehenden Transformationen für sie sinnvoll sein können. Denn auch Projekte z.B. die „Digitalisierung der Verwaltung“ (ein völlig ...