Security Consulting Leitfaden - Geschäftsprozesse bewerten und verbessern

Über den Security Consulting (Praxis-)Leitfaden
kurz: SCL

Als ich vor einiger Zeit vom Security Management ins Security Consulting wechselte, musste ich feststellen, dass es nur wenig Praxis-bezogene Hilfestellungen für Consulting in diesem Bereich gibt. Ohne die Erfahrungen, die ich zuvor einige Jahre im Management sammeln konnte, wäre mein Umstieg wesentlich schwieriger geworden.
Im Consulting erlebe ich nun, dass viele Firmen im Bereich Informationssicherheit immer wieder die gleichen oder sehr ähnliche Probleme haben. Oft sind diese jedoch leichter zu lösen sind, als es anfangs den Anschein hat. Man muss nur die richtigen Wege finden. Und die finden sich nicht selten in Management-Methoden.
Mit diesem Artikel starte ich eine Artikel-Serie, in der ich in unregelmäßigen Abständen über solche typischen Probleme schreiben, vor allem aber praktische Lösungsansätze aufzeigen werde. Denn WAS gemacht werden muss, kann man auf vielen Seiten über Cybersecurity und Informationssicherheit nachlesen. WIE das Was umgesetzt werden soll, wird jedoch selten behandelt und stellt so manchen Informationssicherheitsbeauftragten (ISB) in seinem Unternehmen vor scheinbar unlösbare Probleme. In dieser Serie gibt es nun also das Wie zum Was. 😊

Prozess-Management und Cyber-Security

Wenn man als Sicherheitsberater Unternehmen dabei unterstützt ein Informationssicherheitsmanagementsystem (ISMS) einzuführen, ist Prozess-Management in vielerlei Hinsicht ein wichtiges Thema. Denn letztendlich muss das ISMS in die Prozesse des Unternehmens implementiert werden, so dass es nicht nur ein Haufen an Dokumentationen ist, für die sich keiner mehr interessiert. Auch die vorhandenen Prozesse müssen für diverse Zwecke, wie z.B. das Risiko- oder das Notfall-Management erfasst, bewertet und dokumentiert werden. Um dies zu tun, ist es hilfreich, Prozess-Management zu verstehen.

Wenn man es richtig macht und eng mit dem Top-Management des Unternehmens zusammenarbeitet, wird dabei nicht nur Sicherheit in den Prozessen verbessert, sondern auch gleich die Gelegenheit genutzt, um die Prozesse insgesamt zu optimieren. So wird Security zu auch gleich zum Enabler für die Optimierung sämtlicher Geschäftsprozesse, was oft zu Zeit- und/oder Kosteneinsparungen führt. Denn gerade in Unternehmen, die bis zur Einführung des ISMS nicht prozessorientiert gearbeitet haben, zeigt sich bereits bei der Erfassung der Prozesse viel Potential für Automatisierungen, Einsparung von Ressourcen oder auch Dinge wie unnötig lange Entscheidungswege u.ä..