Senior Security Consultant/Penetration Tester | CEO
Was sind die wichtigsten Aspekte für ein Unternehmen, um IT-Sicherheit zu haben? Man muss immer abschätzen, wie schwer man es sich selbst machen will. Denn wenn man nur eine Person anrufen will und schon unzählige Sachen, wie ein Fingerabdruck, einen Face-Scan, einen Pin eingeben und und und machen muss, bevor man überhaupt mal zur Telefonliste kommt, braucht das extrem viel Zeit.
Am besten ist es, wenn du von vorneherein hergehst und schaust, was unbedingt geschützt werden muss. Dann schaust du in welche Programme, etc. Angreifer schnell Zugriff bekommen (Low Hanging Fruits). Wenn du selbst deine Sicherheit nicht genug schützen kannst, kannst du dir jederzeit einen Security Consultant suchen, der dich unterstützt.
Ein weiterer wichtiger Punkt ist, wie mit Backups und ähnlichem umgegangen wird. Wenn etwas kaputt geht, sollte es gerettet werden können.
Ein CISO ist zudem auch wichtig. Natürlich bei einem kleinen Unternehmen mit nur ein paar Mitarbeiter gibt es mehr als genug für die Mitarbeiter zu tun, dass keiner Zeit dafür hat. Aber bei größeren Unternehmen sollte man zumindest eine Person dafür abstellen. Diese Person muss auch nicht Vollzeit als CISO arbeiten, sondern es reicht, wenn sie sich ein paar Stunden in der Woche um die Sicherheit kümmert.
Doch in welchen Bereichen der Sicherheit sollte man investieren? Man sollte auf jeden Fall in die Security Awareness, also in die Sicherheit im Denken der Mitarbeiter beim Arbeiten investieren. Denn wenn die Mitarbeiter wissen, wo sie angegriffen werden können, können sie sich viel leichter schützen. Auch du selbst kannst dich mit der Sicherheit in deinem Betrieb beschäftigen und Gefahren erkennen. Es gibt 3 Stages bei den Mitarbeitern:
Stage 1: allgemeine Mitarbeiterausbildung für Security Awareness
Stage 2: CISO Ausbildung in Threat-Modeling (Risikomanagement), Assetmanagement (etc.) ins Unternehmen bringen
Stage 3: Penetration Tester im Haus (andere Firma ins Unternehmen einbinden oder eigenen Penetration Tester anstellen)