Durch die stetig ansteigenden Anforderungen an die Informationssicherheit in Unternehmen, steigt die Nachfrage nach externen IT-Dienstleistern, die diese Aufgaben übernehmen können. Die Gründe dafür sind meist die nicht vorhandene Kapazität an qualifizierten Mitarbeitern im eigenen Unternehmen und kalkulierbare Kosten. Was Sie dabei beachten sollten, lesen Sie hier.
Unternehmen müssen sich auf ihr Kerngeschäft konzentrieren oder wollen keine eigene IT Abteilung aufbauen. Dabei ist es nicht ausschlaggebend, ob es sich um einen Konzern, Mittelstand oder ein Start-Up Unternehmen handelt.
Um eine vertrauenswürdige Zusammenarbeit zwischen Auftraggeber und (IT-)Dienstleister zu gewährleisten, ist es wichtig gemeinsam die Maßnahmen zur IT Sicherheit zu planen und umzusetzen. Nur dann kann Informationssicherheit im Unternehmen gelebt werden. Nicht nur bei der Vorauswahl des Dienstleisters gibt es viele Aspekte, die beachtet werden müssen – damit ist es noch nicht getan. Auch während der Umsetzung sollte es einen regelmäßigen Austausch geben, um Missverständnisse oder Versäumnisse zu vermeiden. Wichtige Punkte aus unserer Erfahrung sind:
Tritt beim Dienstleister ein Sicherheitsvorfall auf, muss dies umgehend an den Auftraggeber gemeldet werden. In der Praxis zeigt sich jedoch, dass dies nie oder nur in Extremsituationen passiert. Für den Auftraggeber entstehen so mehrere Risiken:
Wenn ein Sicherheitsvorfall aufgetreten ist, gibt es die verschiedenen Stufen von Handlungsschritten (siehe ISO 27001 Abschnitt 10 und A.16):
Ein Beispiel: Ein System wird von einem Virus befallen
Lassen Sie sich als Auftraggeber regelmäßig von Ihrem IT-Dienstleister Bericht zur Lage der Informationssicherheit erstatten. Grundsätzlich sollte dies jeder Kunde tun – und demnach für den Dienstleister ein eingepreister Aufwand sein.
Gleichzeitig legen Sie gemeinsam mit Ihrem Dienstleister fest wie über Vorfälle informiert werden muss. Sollten Sie gar keine Informationen erhalten, lohnt es sich aktiv nachzufragen. Jeder Dienstleister hat hin und wieder Vorfälle, gibt diese aber nicht weiter.
Im Zweifel führen Sie ein Lieferantenaudit durch, um die Wirksamkeit bezüglich Sicherheitsvorfällen zu überprüfen. Im Rahmen des Audits erhalten Sie interne Abläufe des Dienstleisters aus denen Sie ableiten können, ob der Dienstleister Vorfälle überhaupt identifizieren kann, diese dokumentiert und auch an Kunden weiterleitet.
+ Kostensenkung (Kosten fallen nur dann an, wenn an dem Projekt gearbeitet wird)
+ Konzentration auf das Kerngeschäft der angestellten Mitarbeiter
+ bessere Qualität, da Spezialisierung des Dienstleisters
+ viel Erfahrung des Dienstleisters und sich daraus ergebende Lösungen
– Zeitintensiv, da viele Absprachen nötig sind
– Anteilige Abgabe der Kontrolle
– Abhängigkeit vom Dienstleister und seinen Versprechungen
Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!
Ihr ALPS-Experten-Team