Muster it sicherheitskonzept für kleine unternehmen

Dies ist ein wichtiger, aber oft übersehener Teil der Informationssicherheit eines Unternehmens. Selbst mit den besten Plänen und den fortschrittlichsten Sicherheitsprodukten, die Ihre Systeme sichern, ist es immer noch wichtig, die Situation kontinuierlich zu überwachen und zu überprüfen. Dies kann für ein kleines Unternehmen eine Herausforderung sein, kontinuierlich zu tun, aber Sie sollten versuchen, zumindest einige sicherheitsrelevante Metriken zu haben, die Sie im Auge behalten, was Ihnen einen Einblick in die Situation und ihre Trends oder Entwicklungen im Laufe der Zeit geben kann. Einige Beispiele für Parameter für Sicherheitsmetriken können die Dienstverfügbarkeit (“Wie viele 9s?”), die Anzahl der erkannten Malware, Sicherheitsereignisse und Sicherheitsvorfälle sowie die Anzahl der von Ihnen unterzeichneten Sicherheitsvereinbarungen sein. Die statistische Beobachtungseinheit ist das Unternehmen im Sinne der Verordnung 696/1993 vom 15. März 1993. Die Erhebung betraf Unternehmen mit mindestens 10 Beschäftigten. Die Wirtschaftszweige entsprechen der Klassifikation NACE Revision 2. Die abgedeckten Sektoren sind Produktion, Elektrizität, Gas und Dampf, Wasserversorgung, Baugewerbe, Groß- und Einzelhandel, Reparatur von Kraftfahrzeugen und Motorrädern, Transport und Lagerung, Beherbergungs- und Gastronomietätigkeiten, Information und Kommunikation, Immobilien, professionelle, wissenschaftliche und technische Tätigkeiten, Verwaltungs- und Unterstützungstätigkeiten sowie Reparatur von Computern und Kommunikationsgeräten. Die Unternehmen sind nach Größen aufgeschlüsselt; kleine (10-49), mittlere (50-249) und große Unternehmen (250 oder mehr Beschäftigte). Wenn Sie ein minimal machbares Sicherheitsmodell für Ihre Dienste und Ihre Systeme erstellt haben, sollten Sie ihre Sicherheit kontinuierlich verbessern, indem Sie Risiken und Kosten in Geld, Zeit und Benutzerfreundlichkeit verfügbarer Sicherheitskontrollen in Einklang bringen. Sie können z.

B. die Bereitstellung von Steuerelementen zur proaktiven Erkennung und Verhinderung von Eindringversuchen (IDS/IDP), zum Identifizieren von erweiterten persistenten Bedrohungen (APT) oder zum Ausweichen ihrer Firewall-Regeln in Betracht ziehen. Viele dieser Funktionen können auch von einem Dienstanbieter bezogen werden. Im Jahr 2018 hat jedes achte Unternehmen in der EU (13 %) mindestens einmal Probleme aufgrund von IKT-bezogenen Sicherheitsvorfällen. Das am häufigsten gemeldete Problem, das durch IKT-Sicherheitsvorfälle verursacht wurde, war die Nichtverfügbarkeit von IKT-Diensten, wie Hardware- oder Softwarefehler (ausg. mechanischefehler und Diebstahl), Denial-of-Service-Angriffe, Ransomware-Angriffe, von denen 10 % der Unternehmen betroffen sind. Es folgten die Zerstörung oder Beschädigung von Daten aufgrund von Infektionen mit bösartiger Software, Hardware- oder Softwarefehlern oder unbefugtem Eindringen (6 % der Unternehmen) und seltener berichteten Unternehmen über die Offenlegung vertraulicher Daten (1 %), z. B. durch Eindringen, Pharming oder Phishing-Angriffe, Handlungen eigener Mitarbeiter (absichtlich oder unbeabsichtigt). Große Unternehmen waren eher von Problemen aufgrund von IKT-bezogenen Vorfällen betroffen; 25 % der großen Unternehmen hatten im Jahr 2018 solche Probleme, während dies bei 18 % der mittleren und 12 % der kleinen Unternehmen der Fall war (Abbildung 10). Manager betrachten Informationssicherheit oft als eine Frage des Kaufs sicherheitsrelevanter Produkte oder Dienstleistungen.