Thema 2: über geeignete Verfahren verfügen: einen Plan erstellen
Wenn Sie durch ein Bestandsverzeichnis und die notwendige Analyse ein Überblick über Ihre Situation gewonnen haben, müssen Sie zum nächsten Schritt übergehen: der Erstellung eines Plans.
Schon zu Zeiten der Burgen wartete der mittelalterliche Herrscher nicht, bis er von seinen Feinden angegriffen wurde oder sich ein Vorfall ereignete, um sich über die richtigen Maßnahmen Gedanken zu machen, die er ergreifen musste.
Um sich zu verteidigen, plante er im Voraus die Ausbildung seiner Truppen (Bogenschützen, Infanteristen usw.), er überlegte sich Verfahren zur Lagerung von Lebensmitteln, um einer Belagerung standhalten zu können, er legte Evakuierungsverfahren fest (z. B. für den Fall eines Brandes) und er einigte sich mit seinen Verbündeten auf das Verfahren, mit dem er am Tag eines feindlichen Angriffs Verstärkung anfordern konnte.
In ähnlicher Weise muss Ihr Unternehmen im digitalen Zeitalter auch Verfahren einführen, um Vorfällen im Bereich der Cybersicherheit zuvorzukommen und deren möglichen Auswirkungen zu begrenzen.
Dieser Plan sollte in drei verschiedenen Phasen erstellt werden:
- Vor dem Vorfall: Was Sie tun, um einen Cybersicherheitsvorfall zu verhindern. In dieser Phase ist eine gute Informationssicherheitspolitik, einschließlich der Sensibilisierung Ihres Personals (siehe Thema 3 „Sensibilisierung: Ihr Plan in der Praxis“), sowie die Kontrolle der Risiken im Zusammenhang mit Ihren Lieferanten und Subunternehmern (Verwaltung personenbezogener Daten, Zugang zu Ihren Computersystemen usw.) sehr nützlich. Es ist wirklich das Schlüsseldokument in Ihrem Cybersicherheits-Präventionsplan!
- Während des Vorfalls: Was Sie tun, wenn der Cybersicherheitsvorfall trotzdem eintritt, um einen völligen Stillstand Ihrer Tätigkeit zu vermeiden und die Kontrolle über die Situation wiederzuerlangen. Hier spricht man vom und vom .
- Nach dem Vorfall: Was Sie nach dem Vorfall im Bereich der Cybersicherheit tun, um aus Ihren Erfahrungen zu lernen. Dies ist die .
Warten Sie nicht, bis der Vorfall eintritt, bevor Sie über die richtigen Verfahren nachdenken!
Zur Erinnerung
- Mittelalterburg:
- Verfahren für:
- Ausbildung der Truppen (Bogenschützen, Infanteristen usw.);
- Einlagerung von Lebensmittel (Belagerung);
- Evakuierung (Brand...);
- Anforderung von Verstärkung der Verbündeten;
- usw.
- Cybersicherheit für Ihr Unternehmen:
- Planung der Verfahren in drei Phasen:
- vor dem Vorfall: Informationssicherheitspolitik (Sensibilisierung, Verwaltung von Lieferanten und Subunternehmern usw.);
- während des Vorfalls: (Wiedererlangung der Kontrolle) und (Aufrechterhaltung der Tätigkeit);
- nach dem Vorfall: (Lernen aus der Erfahrung).