Exakte Regeln für diffuse Risiken - geht das?

Exakte Regeln für diffuse Risiken - geht das?

6. Juni 2014 - Von Rainer Kessler

Ein Essay zum Alltag von Risikomanagers in Technologie und Betrieb.
Artikel erschienen in IT Magazine 2014/06
(Quelle: Isaca)
Schlimme Dinge beginnen oft ganz harmlos: Wer kennt sie nicht, die scheinbar simple Diskussion über die Clear-Desk- und/oder die Clear-Screen- Policy. Verlangen wir «keine vertraulichen Informationen sollten unbeaufsichtigt gelassen werden» oder sagen wir «nicht länger als 15 Minuten» oder sogar «ausserhalb der Bürozeit»? (Mit entsprechenden Folgen für die Parametrisierung des Screen-Savers, etc.) Wenn diese Frage durch einen Security-Officer oder einen Risikomanager auf Stufe Geschäftsleitung eskaliert wird, erntet sie/er im besten Fall Hohn, im schlechtesten wird er/sie als inkompetent disqualifiziert (weil diese Frage nicht selbständig gelöst wurde). Dabei ist die Festlegung dieses Clear-Desk-/Clear-Screen-Parameters eine zentrale Weichenstellung für die Ausgestaltung des Sicherheitsdispositivs. Mehr noch: es ist ein Bekenntnis für eine ganz bestimmte Risikotoleranz, welche für diverse andere Bereiche richtungsweisend ist.

(Quelle: Isaca)
(Quelle: Isaca)
(Quelle: Isaca)

Natürlich liegt die Versuchung nahe – und weil man ja nichts falsch machen will – hier den ambitiösen Wert «vertrauliche Informationen nie unbeaufsichtigt» zu wählen. Tut man das, so ist entweder der zigfache Weisungsverstoss pro Tag vorprogrammiert oder aber die meisten Organisationen würden unproduktiv, weil selbst für einen kurzen Gang zum Kaffeeautomaten (wo man allenfalls den Bildschirm noch sperrt) die sorgfältig vorbereitete Auslegeordnung der sortierten Kundenbriefe, welche sogleich weiter bearbeitet werden müssen, zu Gunsten der Clear- Desk-Policy wegzuräumen ist. Entscheidet sich die Organisation1) jedoch, gar keine Clear- Desk-Policy anzuwenden, wird der erstbeste Auditor (und daneben allenfalls auch das Reinigungspersonal) in diesem Sachverhalt ein ausnutzbares fahrlässiges Handeln sehen. Dieses einfache Beispiel soll zeigen, dass wir uns oft mit der Anforderung konfrontiert sehen, eine exakte Regel festzulegen, hierfür jedoch beliebig viele Beispiele heranziehen können, welche für die eine oder andere Lösung sprechen – und die Lösungen können sich dabei durchaus gegenseitig ausschliessen.
 
Seite 1 von 4

Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
SPONSOREN & PARTNER