Ausgangssituation: Die Fülle an technischen Maßnahmen und Anforderungen an die Organisation von IT-Sicherheit machen es schier unmöglich, die geeignete Strategie für den eigenen Informationsverbund festzulegen, wenn nicht strategische Prinzipien verfolgt werden. Der Vortrag gibt Einblicke in bewährte Ansätze (Best Practice) und deren konkrete Umsetzung anhand von Beispielen. Er orientiert sich dabei auch an den Anforderungen der ISO 27001 – welche besonders für Betreiber kritischer Infrastrukturen (KRITIS) im Sinne des ITSiG relevant ist.

Scope: In diesem Abschnitt wird der Scope (Geltungsbereich) beschrieben und für verschiedene Branchen beispielhaft dargestellt. Kernziel ist die Identifikation der schützenswerten Güter (Kronjuwelen).

Risikomanagement: Die Ermittlung und Bewertung von Informationssicherheitsrisiken kann sich ohne Strategie schnell zu einem Fass ohne Boden entwickeln. Dabei ist eine zielführende Strategie nur mit Hilfe eines Risikomanagements möglich. Wie geht man also am besten vor, um Risiken zu ermitteln und abzuschätzen.

Risikobehandlung: Und dann? Wenn die Risiken bekannt und bewertet sind, geht es mit der Arbeit eigentlich erst richtig los. Welche Maßnahmen sind in welchem Fall sinnvoll? Es werden wiederum konkrete Maßnahmen vorgestellt und deren Mehrwert im Sinne der Strategie erläutert.

Vorteile für die Teilnehmer: Vielen IT-Administratoren und IT-Leitern fällt es schwer, eine geeignete und effektive Strategie zur nachhaltigen Steigerung der Informationssicherheit zu erarbeiten. Der Vortragende hat in diesem Umfeld vielfältige Erfahrungen in nahezu allen Branchen. Als zertifizierter ISO 27001-Auditor berät er Unternehmen aller Größen und Branchen bei der Entwicklung einer Informationssicherheits-Strategie. Die Teilnehmer nehmen konkrete Hilfestellungen zur Strategieentwicklung mit.