Die Grundlagen für gute IT-Richtlinien

Wenn diese von umfassend informierten und engagierten Mitarbeitern richtig unterstützt werden, so stellen die IT-Richtlinien sicher, dass das Unternehmen geschützt bleibt, während die industrieüblichen Standards eingehalten werden:

Vollständige IT-Richtlinien sollen unter anderem folgendes beinhalten:

• Tragbare Nutzungsstrategie
• Datenschutz
• Krisenplan

Tragbare Nutzungsstrategie

Die Nutzungsstrategie führt die adequate und angemessene Nutzung der Technologie für Ihr Unternehmen im Detail auf. Sie sollte Richtlinien für alle Technologien (Computer, Telefone, Faxgeräte, Internet, E-Mail und Voicemail) ebenso wie Konsequenzen im Falle von Missbrauch aufweisen. Somit können alle Mitarbeiter für ihre Nutzung der Technologie zur Verantwortung gezogen werden.

Sie sollten ebenfalls einschließen, wie Sie die Strategie umsetzen und gleichzeitig sicherstellen, dass Sie im besten Interesse des Unternehmens sind und keine Hintertüren offen gelassen werden.

Es besteht ein stetig wachsender Bedarf an Richtlinien zum Thema „Social Media“. Es ist wichtig, Sicherheitseinstellungen auf Profilen, die mit Ihrem Unternehmen assoziiert sind, zu überprüfen, ebenso wie Mitarbeiter über die Nutzung ihres persönlichen Profils zu belehren.

Einige Unternehmen erlauben ihren Angestellten „Social Media-Pausen“ einzulegen. Da diese jedoch eine erhöhte Ablenkung darstellen, sind sie oft auf Mittagspausen und den Feierabend limitiert.

• Nutzung in angemessener, relevanter und nicht übertriebener Weise
• Akkurat
• Nicht länger als unbedingt notwendig
• Handhabung im Einkalng mit dem Datenschutz
• Sicher
• Keine Übertragung außerhalb des europäischen Wirtschaftsraum ohne den angemessenen Schutz

Datenschutz

Die acht Hauptziele, welche im Data Protection Act von 1998 zusammengetragen sind, legen fest, dass Daten:

• Fair und rechtsmäßig genutzt werden sollen
• Für den limitierten und spezifisch festgelegten Zweck genutzt werden sollten
• So genutzt werden sollten, dass es adequat, relevant und nicht übertrieben ist
• exakt sein sollten
• nicht länger aufbewahrt werden sollten, als dies tatsächlich notwendig ist
• entsprechend des Datenschutzrechts gehandhabt werden
• sicher und geschützt aufbewahrt werden
• nicht außerhalb des europäischen Wirtschaftsraums transferiert werden, ohne dass der entsprechende Schutz gewährleistet wird

Möglicherweise müssen Sie ebenso das Informationskommissariat über den Besitz von Firmendaten informieren. Um genauer zu sein, müssen Richtlinien für den Schutz von privaten Daten, einschließlich Passwörtern, im Hinblick auf das Niveau des Netzwerkzugriffs und dem Virenschutz getroffen werden.

Es ist unabdingbar, dass jegliche Datennutzung mit den Regierungsrichtlinien übereinstimmt. Das Informationskommissariat hat die Befugnis Geldstrafen bis in Höhe von £500.000 zu verhängen, wenn das Datenschutzgesetz nach dem 6.04.2010 verletzt wurde.

Der Datenmissbrauch des Reiseunternehmens Thomson im August 2015, führte zu einer Veröffentlichung persönlicher Daten von 458 Personen. Nur drei Monate zuvor erhielt die „South Wales – Polizei“ eine Geldstrafe über  £160.000, für den Verlust einer Videoaufzeichnung, die Teil der Beweisführung in einem Gerichtsverfahren war. Die unverschlüsselte CD wurde in einer Schreibtischschublade gelagert, ehe sie verschwand.

Das Informationskommissariat hat £2.031.250 von 18 verhängten Geldstrafen im Jahr 2015 eingenommen, eine Zahl die offenbar für 2016 ähnlich hoch sein wird. Bis zum 1. April des Jahres wurden bereits 8 Geldstrafen in Höhe von £911.000 verhängt.

Krisenplan

Die Fähigkeit eines Unternehmens sich nach einem ernsthaften IT- Zusammenbruch, wieder zu erholen, ist abhängig von der Vorbereitung, die bei den folgenden drei Prinzipien vorgenommen wurde:

Vermeidung: Ziehen Sie alle Maßnahmen in Betracht, die eine Katastrophe vermeiden.

Vorbeugung: Entwickeln Sie Maßnahmen, die potenziell möglichen Katastrophen entgegenwirken können.

Minderung: Handhaben Sie Krisen effektiv, sodass der normale Betrieb schnellstmöglich wieder aufgenommen werden kann.

Unternehmen benötigen einen robusten IT Krisenplan. Dieser beinhaltet vollständige und detailierte Pläne, die als Standardmaßnahmen umgesetzt werden müssen, um den notwendigen Wiederherstellungsprozess zu beschleunigen.

Der Krisenplan, der im Vorfeld getestet werden sollte, enthält ebenso Pläne bezüglich der Abläufe während und nach einem Notfall. Hauptziele sollten sein:

• Reduzierung der Unterbrechung im Tagesgeschäft
• Reduzierung des Risikos der Verzögerung
• Gewährleistung, dass die Sicherheit nicht beeinträchtigt wurde
• Gewährleistung eines robusten Backup-Systems
• Unterstützung der schnellen Wiederherstellung

Ein Krisenplanungsteam wird benötigt, um die Wiederherstellung zu betreuen. Es besteht aus Mitarbeitern aller Abteilungen, einschließlich dem Management. Das Team ist dafür verantwortlich, eine Risikoprüfung innerhalb des gesamten Unternehmens durchzuführen, sodass alle möglicherweise auftretenden Krisen sowie die Sicherheit wichtiger Ressourcen berücksichtigt werden.

Die Datensammlung innerhalb der Risikobewertung beinhaltet die Bestandsaufnahmen von Richtlinien, Formularen, Equipment, Datenübertragungen, wichtigen Telefonnummern, Kontaktdaten, Kundendaten und alle andere wichtige Dokumentationen.

Unternehmen haben eine Vielzahl von Möglichkeiten, was die IT-Krisenplanungsinfrastruktur angeht. Diese können betreute, nicht betreute Kollokationsanbieter sein oder auch „Cloud-basierte“-Anwendungen. Die endgültige Wahl ist von der Bedürfnissen und Fähigkeiten des jeweiligen Unternehmens abhängig.

Viele IT-Unternehmen erstellen externe Sicherheitssysteme. Mittels Kollokation kann ein Unternehmen eine offsite-Kopie des Primärdatenbestandes erzeugen, welche die Kontrolle übernehmen kann, falls interne Unterbrechen auftreten.

Eine sichere IT-Richtlinie schützt das Unternehmen gesetzlich und dient als interne Richtlinie für unvorhersehbar auftretende Umstände.