ASEA-IT-Sicherheitsprinzip
Das ASEA-IT-Sicherheitsprinzip ist eine Sicherheitsstrategie im IT-Bereich für Unternehmen, das von T. T. Ford entwickelt wurde. Das Prinzip ist in vier Phasen unterteilt, aus deren Anfangsbuchstaben sich der Name ASEA ergibt:
- Analysieren
- Sensibilisieren
- Erweitern
- Aktualisieren
Anwendung[Bearbeiten]
Das IT-Sicherheitsprinzip nach ASEA kann im Umfeld der IT-Sicherheit den Schutz für Unternehmen aller Arten erhöhen. Die aufeinander abgestimmten vier Phasen zeigen pragmatische und kostengünstige Ansätze, wie die IT- Sicherheit strukturiert erhöht und aufrecht erhalten kann. Das Prinzip wurde als Unterstützung für Leitungspersonen und verantwortliche Techniker im Bereich der IT-Sicherheit entwickelt. Es ist nicht abschliessend und kann an differenzierte Gegebenheiten angepasst werden.
Vorgehensweise[Bearbeiten]
Analysieren[Bearbeiten]
Bei der ersten Phase soll ein Überblick geschaffen werden, wie die momentane Bedrohungslage des einzelnen Unternehmens aussieht. Hier helfen verschiedene Fachzeitschriften und Onlineberichte wie auch Benchmarks, welche oft von Sicherheitsfirmen wie Kaspersky oder Symantec erstellt werden. Zudem besitzen viele europäische Staaten eine Melde- und Informationsstelle für IT-Sicherheit. In Deutschland wäre dies z. B. das BSI oder in der Schweiz die Bundesstelle NCSC (ehemaliges MELANI). Beide erstellen jährliche Berichte über die aktuelle IT-Sicherheitslage im entsprechenden Land.
Um nun einen guten Überblick zu bekommen für das eigene Unternehmen, wird das Erstellen einer Risikomatrix empfohlen.
Sensibilisieren[Bearbeiten]
Einer der größten Risiken bleibt das menschliche Fehlverhalten.[1][2] Dies wird vermutlich auch in den nächsten Jahren so bleiben. Um möglichst schnell relativ viel IT-Sicherheit zu gewinnen, sollten in den analysierten Bereichen Sensibilisierungs-Maßnahmen durchgeführt werden. Bereits ganz einfache und kostengünstige Maßnahmen können eine große Wirkung erzielen.
Mögliche Maßnahmen sind das Erstellen einer IT-Sicherheitsrichtlinie, Aufklärungsgespräche mit den Mitarbeitenden, YouTube–Tutorials oder auch interne Phishing-Attacken, um die Mitarbeiter wachsamer zu machen.
Erweitern[Bearbeiten]
Eine Informatikumgebung sollte ständig an die neu analysierten Gefahren angepasst werden. Deshalb sollte immer etwas Geld für Investitionen in den Bereich von IT-Sicherheit Komponenten eingeplant werden. Wo früher noch eine Firewall und ein Antivirus genügend Schutz in einem Netzwerk geboten haben, müssen heute einige Komponenten mehr eingesetzt werden, um eine ausreichende IT-Sicherheit zu erzielen. Hier hilft sich zu erkundigen, was momentan Stand der Technik ist im Umfeld der IT-Sicherheit.
Aktualisieren[Bearbeiten]
Die besten IT-Sicherheitskomponenten nützen nichts, wenn diese veraltet sind. Dazu kann ein gutes Patchmanagement[3] der eingesetzten Systeme und Komponenten viel bewirken. Nicht zu vergessen, auch sicherheitstechnisch relevante Abläufe oder auch Richtlinien sind immer wieder den aktuellen Risiken anzupassen.
Einzelnachweise[Bearbeiten]
- ↑ Kaspersky (Hrsg.): Kaspersky IT Security Risks Survey 2017.
- ↑ Verizon (Hrsg.): Data Breach Investigations Report. 2017.
- ↑ Patchmanagement. Abgerufen am 5. Juni 2020.
Diese artikel "ASEA-IT-Sicherheitsprinzip" ist von Wikipedia The list of its authors can be seen in its historical and/or the page Edithistory:ASEA-IT-Sicherheitsprinzip.