Direkt zum Hauptbereich

Notizen zum Lean Coffee Informationssicherheit in Verwaltungen, Nr. 2

Informationssicherheit ist die Voraussetzung für die weitere Digitalisierung in  Verwaltungsbereichen. Wenn Ihr Euch austauschen wollt, gibt es jetzt ein monatliches Lean Coffee, in dem Ihr Eure Fragen loswerdet und in dem Ihr Erfahrungen teilen könnt. Wenn Ihr wissen wollt, warum Kekse und Kaffee die wichtigsten Werkzeuge für den Aufbau eines ISMS sind, kommt gern zum nächsten Online-Lean-Coffee am 25.95.2022.

Zum Lean Coffee am 27.04.2022 trafen sich 10 Pioniere zu früher Stunde im Zoom-Land.

Foto: Fahmi Fakhrudin auf Unsplash
Wer die Einladung zum nächstenTermin nicht verpassen will, meldet sich entweder in der Xing-Gruppe an oder meldet sich direkt bei den Organisatoren Niklas Hirsch oder Jan Fischbach. Wir nehmen Euch dann in den Verteiler auf. 

https://www.xing.com/communities/groups/austausch-informationssicherheit-in-kommunen-und-der-verwaltung-46cb-1152817/

In dieser Runde favorisieren wir eine agile Herangehensweise an das Thema Informationssicherheit in Verwaltungen.

Erfahrungen mit Verinice

Verinice ist ein ISMS-Tool (https://verinice.com/), das aus dem GS-Tool des BSI hervorgegangen ist. Das Tool ist nützlich, um das Umsetzen von Maßnahmen aus dem BSI-Grundschutzkatalog zu verfolgen. Bei der Diskussion wird von verschiedenen Erfahrungen berichtet.

  • Es ist einfacher, erst einmal technische Maßnahmen umzusetzen, bevor man sich an die organisatorischen und personellen Maßnahmen wagt.
  • Eine Maßnahmenliste ergibt sich aus dem Analysieren der Risiken in der Organisation. Schön wäre es, wenn die Schnittstellen funktionierten: einige Daten lassen sich z. B. im CSV-Format importieren.
  • Wenn man anfängt, Excel- oder Word-Dokumente zu pflegen, verliert man schnell den Überblick. Bitte auch keine Verlinkungen auf Netzlaufwerke. Wenn sich die Pfade ändern, findet man nichts mehr wieder.
  • Einige Organisation nutzen externe Berater:innen. Externe bieten nicht nur den Vorteil der Arbeitsentlastung. Dadurch, dass diese Leute vor Ort sind und Geld kosten, entsteht Handlungsdruck. Interne Themen wie Informationssicherheit werden leicht zu Gunsten noch wichtigerer Themen geschoben. Eine kostengünstige Alternative: gegenseitig besuchen. So werden Themen sauber aufgearbeitet, um vor den Anderen ein gutes Bild abzugeben. Führungskräfte geben sich hier besonders Mühe.

Risikoanalyse(n): Trockenen BSI-Standard mit Praxis anreichern

Die Kenntnis der spezifischen Sicherheitsrisiken ist eine gute Grundlage für ein Sicherheitskonzept und entsprechendes, umfassendes System in einer Organisation. Die ISO-Norm 31000 bietet einen Standard für die Analyse von Risiken. Aber wie kommt man an eine Liste der Risiken?

Viele Organisationen teilen die gleichen Grundrisiken. Für die Gespräche mit den Fachabteilungen lohnt es, sich einen Standardkatalog von 5 bis 10 Fragen zu erstellen: z. B. "Was machen wir eigentlich wenn Eure wichtigste IT-Anwendung nicht funktioniert?" oder "Was muss passieren, dass Du 2 Wochen Urlaub bekommst?" Abstrakte Ideen fördern die Kreativität.

Die wichtigsten Tools für die Risikoanalyse sind daher Tee, Kaffee und Kekse, um eine gute Gesprächsatmosphäre zu schaffen. Auch wenn jemand denkt, sein Risiko ist vielleicht eine blöde Idee, ist jede Idee zu fördern. Es gibt keine falschen Risiken. Wir reden später über die Eintrittswahrscheinlichkeit.

Bereitstellung von Vorlagen/Templates institutionsweit - Doku-Organisation

Ein Großteil der Arbeit beim Aufbau eines ISMS liegt im Aufbau und Verabschieden von vielen Dokumenten (Leitlinien, Konzepte, Vorgaben, Checkliste usw.). Dafür brauchen die ISBs die Mithilfe verschiedener Leute aus der Organisation. Echtes Commitment gibt es nur, wenn man sich an den Themen der Leute orientiert, die mitarbeiten. Wenn man mit den Leuten spricht, merkt man, was sie beschäftigt.

Allerdings muss ein:e ISB immer zwischen diesen Themen und den technischen Themen, die oben auf der Liste stehen abwägen.

Sind die Fragebögen überhaupt aussagekräftig oder verständlich? Eine kurze Anleitung im Fragebogen oder eine kurze Zoom-Session zum Erklären erhöhen die Chancen, gute Antworten zu bekommen. Wenn man sich am Corporate Design orientiert, merken die Adressaten, dass die Dokumente alle aus dem gleichen Bereich kommen. 

Eine schöne Möglichkeit der Umsetzung bieten Open Spaces. Das ist ein offenes Großgruppenformat, bei dem die Agenda von den Anwesenden zu Beginn gemeinsam erstellt wird. In diesem Rahmen können dann die wichtigen Dokumente sofort erstellt werden.

Wie baue ich echte Awareness auf?

Der Aufbau eines ISMS wird oft von Maßnahmen begleitet, um ein Bewusstsein (engl. Awareness) für Sicherheit zu schaffen. Technische Themen lassen sich oft leichter umsetzen, als Kulturthemen. Kultur ist harte, unbequeme Arbeit. Nur wenn bei den Adressaten der Sinn auch herüberkommt, entwickeln diese eine echte Awareness. Ansonsten werden diese das wohl als Bevormundung wahrnehmen.

Mit Kennzahlen (z. B. Was ist der aktuelle Anteil von Phishing-E-Mails?) kann man die Awareness erhöhen. 

Zur Erinnerung: Awareness-Trainings sind verpflichtend. Und es reicht nicht, ein Thema nur einmal anzusprechen. Das Wiederholungsmoment ist wichtig. 

Für welche Themen brauchen wir wirklich eine Schulung mit max. 10-15 Minuten Input? Für welche Themen reicht eine einfache Checkliste?


Auch diesmal war die Zeit schnell um. Wir treffen uns das nächste Mal am 25.05.2022 von 8-9 Uhr.

 

Kommentare

Beliebte Posts aus diesem Blog

Transparenz als Schlüssel zum Erfolg: 20 Reflexionsfragen für moderne Organisationen

Transparenz ist das Herzstück erfolgreicher Teams. Sie schafft Vertrauen und fördert Zusammenarbeit. Wenn alle Zugang zu den notwendigen Informationen haben, können sie fundierte Entscheidungen treffen und gemeinsam Lösungen erarbeiten. Dies führt zu höherer Effizienz, schnelleren Entscheidungsprozessen und besseren Arbeitsergebnissen. Transparenz ist mehr als ein Schlagwort – es gilt, sie greifbar zu machen, ein gemeinsames Verständnis davon zu entwickeln und es in die Praxis umzusetzen. Wie das gelingt und welche Vorteile es für Euer Team und Eure Organisation bringt, erkunden wir im Folgenden.

Microsoft Teams: Die neuen Besprechungsnotizen - Loop-Komponenten

  Haben Sie in letzter Zeit in einer Teams-Besprechung die Notizen geöffnet? Dort sind inzwischen die Loop-Komponenten hinterlegt. Die sind zwar etwas nützlicher als das, was zuvor zur Verfügung stand. Trotzdem ist noch Luft nach oben. Und es gibt sogar einige ernstzunehmende Stolperfallen. Hier ein erster, kritischer Blick auf das was Sie damit tun können. Und auch darauf, was Sie besser sein lassen.

Zu viel zu tun? Planen Sie Ihre ideale Woche

Wir hören immer wieder, dass Teams zu viel zu tun haben. Aber woher wissen wir eigentlich, was zu viel genau bedeutet? Hier ist ein ungewöhnlicher Tipp: Treffen Sie Annahmen über eine gute Menge. Planen Sie eine ideale Woche.

Wenn dein Team die Anforderungen blockt: 12 Tipps für Product Owner*innen

Liebe Product Owners, wir müssen reden. Schon wieder eine Anforderung, die im Nirgendwo landet? Zeit, das Ganze anders anzugehen. Ihr kennt das Spiel: Anforderungen sind ausgearbeitet, und doch läuft es im Team holprig. Was fehlt? Oft sind es Klarheit, realistische Erwartungen und ein bisschen Fingerspitzengefühl. Doch keine Sorge! Mit ein paar praktischen Tipps könnt ihr Missverständnisse vermeiden, Blockaden umgehen und den Entwicklungsprozess so richtig in Fahrt bringen – natürlich in Zusammenarbeit mit eurem Scrum Master. Hier sind zwölf Regeln, die euch helfen, das Team auf Kurs zu bringen und das Chaos in produktive Zusammenarbeit zu verwandeln. Wir zeigen dabei auch, wo der Scrum Master unterstützen kann, damit ihr eure Rolle als Product Owner noch besser erfüllen könnt. Häufige Stolperfallen: Warum Anforderungen oft scheitern Bevor wir ins Eingemachte gehen, kurz zu den typischen Stolperfallen. „Klare Anforderungen“? Klingt gut, scheitert aber sehr häufig an der realen Praxis. ...

Rebellieren für den Wandel: die 8 Regeln des totalen Stillstandes von Prof. Dr. Peter Kruse

In einem legendärem Vortrag skizzierte Peter Kruse 8 Regeln des totalen Stillstands. Ihm zufolge wurden die Regeln entwickelt, um Managern und Führungskräften dabei zu helfen, Bereiche mit potenziellem Widerstand gegen Veränderungen zu erkennen und Menschen auf strukturierte Weise durch den Veränderungsprozess zu führen.

Pragmatisch oder nur “Quick and Dirty”?

“Wir müssen aber pragmatisch vorgehen”, drängt der Kollege. Hm… Im Wörterbuch finde ich für “pragmatisch” in etwa: sachbezogenes, praktisches Handeln. Klingt gut. Leider zeigt sich in meinen Erfahrungen, dass pragmatisch für viele doch eher “quick and dirty” bedeutet. Es soll schnell fertig werden. Aber auf welche oder wessen Kosten? Wo ist die Grenze? Warum steht “praktisch” im Konflikt mit einem langfristigen “Nützlich”? Muss das sein?

Und jetzt alle zusammen! Teams - OneNote - Aufgaben - To Do

Ein Meeting jagt das nächste. Sich da nicht zu verzetteln, wird  im Zeitalter virtueller Besprechungen  noch anspruchsvoller. Kein Wunder, dass  im Zusammenhang mit Microsoft 365  zwei Fragen besonders häufig auftauchen: Wie dokumentiert man Besprechungen gut? Was hilft, offene Aufgaben nachzuhalten? Eine gute Lösung: Das in MS Teams integrierte OneNote-Notizbuch als gemeinsame Plattform auch für den Aufgabenüberblick zu nutzen.

Kategorien in Outlook - für das Team nutzen

Kennen Sie die Kategorien in Outlook? Nutzen Sie diese? Wenn ja wofür? Wenn ich diese Fragen im Seminar stelle, sehe ich oft hochgezogene Augenbrauen. Kaum jemand weiß, was man eigentlich mit diesen Kategorien machen kann und wofür sie nützlich sind. Dieser Blogartikel stellt sie Ihnen vor.

5 Gründe, warum wir jetzt über die Zukunft nachdenken sollten

Wer hätte im Jahr 2019 gedacht, dass so viele Menschen heute im Home-Office arbeiten können und dass die Firma trotzdem funktioniert? Wer hätte damals gedacht, dass wir heute wie selbstverständlich KI-Werkzeuge nutzen können? Ich will mich nicht der Aussage anschließen, dass sich die Welt immer schneller dreht. Es ist egal, wie schnell sie sich dreht, weil es sich immer lohnt, über die Zukunft nachzudenken. Und das muss nicht kompliziert sein.

Meetings in Scrum Teams: Mehr Fokus, weniger Kontextwechsel

  Meetings in Scrum Teams: Mehr Fokus, weniger Kontextwechsel  „Wir arbeiten agil“ – das bedeutet für viele von uns: Daily Stand-up am Morgen, dann Refinement, dazwischen eine Demovorbereitung, später noch ein kurzes Scrum of Scrums (SoS) und am Nachmittag ein Community-Meeting. Gleichzeitig soll ich an meinen Sprint-Aufgaben arbeiten. Wenn dir diese Situation bekannt vorkommt, les dir gerne meinen Beitrag an. Hier sprechen wir über den Einfluss von häufigen Kontextwechseln auf die Arbeit in agilen Teams und zeigen Best Practices, um diese Wechsel zu minimieren. Viel Spaß & Let’s grow, Michi.  Foto von Matt Bero auf Unsplash