Direkt zum Hauptbereich

Notizen zum Lean Coffee Informationssicherheit in Verwaltungen, Nr. 2

Informationssicherheit ist die Voraussetzung für die weitere Digitalisierung in  Verwaltungsbereichen. Wenn Ihr Euch austauschen wollt, gibt es jetzt ein monatliches Lean Coffee, in dem Ihr Eure Fragen loswerdet und in dem Ihr Erfahrungen teilen könnt. Wenn Ihr wissen wollt, warum Kekse und Kaffee die wichtigsten Werkzeuge für den Aufbau eines ISMS sind, kommt gern zum nächsten Online-Lean-Coffee am 25.95.2022.

Zum Lean Coffee am 27.04.2022 trafen sich 10 Pioniere zu früher Stunde im Zoom-Land.

Foto: Fahmi Fakhrudin auf Unsplash
Wer die Einladung zum nächstenTermin nicht verpassen will, meldet sich entweder in der Xing-Gruppe an oder meldet sich direkt bei den Organisatoren Niklas Hirsch oder Jan Fischbach. Wir nehmen Euch dann in den Verteiler auf. 

https://www.xing.com/communities/groups/austausch-informationssicherheit-in-kommunen-und-der-verwaltung-46cb-1152817/

In dieser Runde favorisieren wir eine agile Herangehensweise an das Thema Informationssicherheit in Verwaltungen.

Erfahrungen mit Verinice

Verinice ist ein ISMS-Tool (https://verinice.com/), das aus dem GS-Tool des BSI hervorgegangen ist. Das Tool ist nützlich, um das Umsetzen von Maßnahmen aus dem BSI-Grundschutzkatalog zu verfolgen. Bei der Diskussion wird von verschiedenen Erfahrungen berichtet.

  • Es ist einfacher, erst einmal technische Maßnahmen umzusetzen, bevor man sich an die organisatorischen und personellen Maßnahmen wagt.
  • Eine Maßnahmenliste ergibt sich aus dem Analysieren der Risiken in der Organisation. Schön wäre es, wenn die Schnittstellen funktionierten: einige Daten lassen sich z. B. im CSV-Format importieren.
  • Wenn man anfängt, Excel- oder Word-Dokumente zu pflegen, verliert man schnell den Überblick. Bitte auch keine Verlinkungen auf Netzlaufwerke. Wenn sich die Pfade ändern, findet man nichts mehr wieder.
  • Einige Organisation nutzen externe Berater:innen. Externe bieten nicht nur den Vorteil der Arbeitsentlastung. Dadurch, dass diese Leute vor Ort sind und Geld kosten, entsteht Handlungsdruck. Interne Themen wie Informationssicherheit werden leicht zu Gunsten noch wichtigerer Themen geschoben. Eine kostengünstige Alternative: gegenseitig besuchen. So werden Themen sauber aufgearbeitet, um vor den Anderen ein gutes Bild abzugeben. Führungskräfte geben sich hier besonders Mühe.

Risikoanalyse(n): Trockenen BSI-Standard mit Praxis anreichern

Die Kenntnis der spezifischen Sicherheitsrisiken ist eine gute Grundlage für ein Sicherheitskonzept und entsprechendes, umfassendes System in einer Organisation. Die ISO-Norm 31000 bietet einen Standard für die Analyse von Risiken. Aber wie kommt man an eine Liste der Risiken?

Viele Organisationen teilen die gleichen Grundrisiken. Für die Gespräche mit den Fachabteilungen lohnt es, sich einen Standardkatalog von 5 bis 10 Fragen zu erstellen: z. B. "Was machen wir eigentlich wenn Eure wichtigste IT-Anwendung nicht funktioniert?" oder "Was muss passieren, dass Du 2 Wochen Urlaub bekommst?" Abstrakte Ideen fördern die Kreativität.

Die wichtigsten Tools für die Risikoanalyse sind daher Tee, Kaffee und Kekse, um eine gute Gesprächsatmosphäre zu schaffen. Auch wenn jemand denkt, sein Risiko ist vielleicht eine blöde Idee, ist jede Idee zu fördern. Es gibt keine falschen Risiken. Wir reden später über die Eintrittswahrscheinlichkeit.

Bereitstellung von Vorlagen/Templates institutionsweit - Doku-Organisation

Ein Großteil der Arbeit beim Aufbau eines ISMS liegt im Aufbau und Verabschieden von vielen Dokumenten (Leitlinien, Konzepte, Vorgaben, Checkliste usw.). Dafür brauchen die ISBs die Mithilfe verschiedener Leute aus der Organisation. Echtes Commitment gibt es nur, wenn man sich an den Themen der Leute orientiert, die mitarbeiten. Wenn man mit den Leuten spricht, merkt man, was sie beschäftigt.

Allerdings muss ein:e ISB immer zwischen diesen Themen und den technischen Themen, die oben auf der Liste stehen abwägen.

Sind die Fragebögen überhaupt aussagekräftig oder verständlich? Eine kurze Anleitung im Fragebogen oder eine kurze Zoom-Session zum Erklären erhöhen die Chancen, gute Antworten zu bekommen. Wenn man sich am Corporate Design orientiert, merken die Adressaten, dass die Dokumente alle aus dem gleichen Bereich kommen. 

Eine schöne Möglichkeit der Umsetzung bieten Open Spaces. Das ist ein offenes Großgruppenformat, bei dem die Agenda von den Anwesenden zu Beginn gemeinsam erstellt wird. In diesem Rahmen können dann die wichtigen Dokumente sofort erstellt werden.

Wie baue ich echte Awareness auf?

Der Aufbau eines ISMS wird oft von Maßnahmen begleitet, um ein Bewusstsein (engl. Awareness) für Sicherheit zu schaffen. Technische Themen lassen sich oft leichter umsetzen, als Kulturthemen. Kultur ist harte, unbequeme Arbeit. Nur wenn bei den Adressaten der Sinn auch herüberkommt, entwickeln diese eine echte Awareness. Ansonsten werden diese das wohl als Bevormundung wahrnehmen.

Mit Kennzahlen (z. B. Was ist der aktuelle Anteil von Phishing-E-Mails?) kann man die Awareness erhöhen. 

Zur Erinnerung: Awareness-Trainings sind verpflichtend. Und es reicht nicht, ein Thema nur einmal anzusprechen. Das Wiederholungsmoment ist wichtig. 

Für welche Themen brauchen wir wirklich eine Schulung mit max. 10-15 Minuten Input? Für welche Themen reicht eine einfache Checkliste?


Auch diesmal war die Zeit schnell um. Wir treffen uns das nächste Mal am 25.05.2022 von 8-9 Uhr.

 

Kommentare

Beliebte Posts aus diesem Blog

Outlook-Aufgabenliste: bitte nicht die Aufgaben des ganzen Teams!

Am Tag der Arbeit kommt eine Lösung, nach der ich schon so oft gefragt wurde: Wie schaffe ich es, dass meine Outlook-Aufgabenliste nur meine eigenen Aufgaben anzeigt und nicht auch die E-Mails, die meine Kollegen gekennzeichnet haben oder Aufgaben, die einfach in einem gemeinsamen Postfach stehen?

Kategorien in Outlook - für das Team nutzen

Kennen Sie die Kategorien in Outlook? Nutzen Sie diese? Wenn ja wofür? Wenn ich diese Fragen im Seminar stelle, sehe ich oft hochgezogene Augenbrauen. Kaum jemand weiß, was man eigentlich mit diesen Kategorien machen kann und wofür sie nützlich sind. Dieser Blogartikel stellt sie Ihnen vor.

Das Ubongo Flow Game

Spiele bieten eine gute Gelegenheit, zeitliche Erfahrungen zu verdichten und gemeinsam zu lernen. Karl Scotland und Sallyann Freudenberg haben im Mai 2014 das Lego Flow Game veröffentlicht. Wir haben die Spielidee übernommen, aber das Spielmaterial gewechselt. Statt Legosteinen benutzen wir Material aus Grzegorz Rejchtmans Ubongo-Spiel. Hier präsentieren wir die Anleitung für das Ubongo Flow Game.

E-Mail-Vorlagen gemeinsam nutzen (Outlook)

Mittlerweile wird praktisch alle Routine-Korrespondenz in Outlook erledigt. Was liegt da näher, als ein gutes Set von Vorlagen zu erstellen und diese gemeinsam in Team zu nutzen? Leider hat Microsoft vor diesen – an sich simplen – Wunsch einige Hürden gebaut.

OneNote Prinzipien: Zugriffsrechte und Speicherorte

OneNote ist praktisch – ohne jeden Zweifel. OneNote ist auch einfach und intuitiv zu bedienen… Ja… so am Anfang. Doch früher oder später kommen Fragen wie: - wer genau hat eigentlich wie Zugriff auf die Daten? Wie ist das mit Synchronisation zwischen Büro-PC und Smartphone oder iPad? Wie funktioniert OneNote auf dem SharePoint? Auf diese Fragen findet sich die Antwort nicht ganz so leicht. Ich versuche hier die nicht ganz so offensichtlichen Zusammenhänge deutlich zu machen und "gern genommene" Fallen zeigen.

Protokolle in OneNote - neue Ideen für's neue Jahr

Protokolliert Ihr Team seine Besprechungen in OneNote? Das geht einfach, schnell ist teamfähig und hat eine exzellente Suchfunktion. Die beliebte Fragen "Wann haben wir eigentlich beschlossen, dass..." ist so schnell beantwortet. Darum wird OneNote an dieser Stelle immer beliebter. In meinen Seminaren dazu sind gute Ideen entstanden, die ich hier weitergeben will.

Leitlinien-Werkstatt für Microsoft-Teams

Mittlerweile hat Microsoft Teams in sehr vielen Unternehmen einen Platz gefunden. Es bedient den Wunsch nach schneller Kommunikation und gemeinsamer Datei-Bearbeitung. Und spart damit Zeit und unnötige Prozessschleifen. Oder? 

Beispiel für eine Partyplanung mit Scrum

Wer sich neu mit Scrum beschäftigt, ist vielleicht überwältigt von den ganzen Fachbegriffen. Dann sieht man vielleicht gar nicht, wie einfach die einzelnen Elemente von Scrum sind. Deshalb hier ein einfaches Beispiel für die Vorbereitung einer Party mit Hilfe von Scrum.

Die Krankheit des Besser-Wissens! Drei powervolle Fragetechniken und eine Haltung zur Heilung.

Kennst Du das: Du betrittst einen Raum und bist Teil einer Situation, hörst eine Problembeschreibung, siehst eine Aufgabe oder liest eine Anfrage. Auf jeden Fall weisst Du mit einem Blick, einem Satz, einem Augenzwinkern sofort Bescheid. Du weisst: um was es geht was das Problem ist wieso das passiert ist was als Nächstes passiert und oft auch was dann (nicht) zu tun ist So wie mit dem Video hier: Ziemlich klar oder? Was für Gedanken gehen Dir durch den Kopf? Vielleicht sowas wie Oh weh!, Unfall!,  gibts Verletzte?  Oder Gehts denen gut? Wo ist das passiert? Viel Spass beim Flottmachen! Etc, etc... Auf jeden Fall aber: Was für ein Malheur! - oder irgend etwas Anderes in der Art. oder? Anderes Beispiel. Schau Dir mal folgendes Bild an und les im Geiste die beiden Reihen vor: A-B-C 12-13-14 oder? Unser Geist beruft sich auf sein Wissen und gibt uns in sekundenschnelle seine Annahme, seine Interpretation, seine Projektion der Wirklichkeit ein. Und die ist in dem Video oben nunmal ein ve

Nur was sichtbar ist, kann gemanagt werden

Ihr steckt fest? Langsam wird’s brenzlig? Ihr wisst nicht so recht, was tun? Kleiner Tipp: Nur was sichtbar ist, kann gemanagt werden.