Elementar dafür ist die Entwicklung und Einführung eines Sicherheitsprogramms. Einer der wichtigsten Bausteine des Sicherheitsprogramms ist die Implementierung eines Informationsmanagementsystems (ISMS). Dieses ISMS unterstützt bzw. ermöglicht überhaupt die Planung und Steuerung aller Anforderungen und Risiken und deren Umsetzungs- bzw. Mitigationsmaßnahmen. Beim Aufbau und der Pflege des ISMS hilft uns der internationale Standard ISO 27001. Dieser formuliert dabei die essenziellen Maßnahmen bzw. Controls (im Charakter von Anforderungen) für einen sicheren Umgang mit Informationen. Die ebenfalls in der Reihe veröffentlichte Leitlinie ISO 27002 bietet praktische und bewährte Umsetzungshinweise, zum Beispiel in den Bereichen Organisation der Informationssicherheit, Personalsicherheit, Kryptographie, Betriebssicherheit und Informationssicherheitsaspekte beim Business Continuity Management.

Wir sind stolz darauf, dass das Sicherheitsprogramm der Westernacher Solutions mit dem Informationssicherheitsmanagementsystem (ISMS) seit 2021 nach ISO 27001 zertifiziert ist! Über alle Standorte, Organisationseinheiten und Unternehmensprozesse hinweg ist damit die Informationssicherheit nachweislich gewährleistet. Auch in diesem Jahr konnten wir das Überwachungsaudit erfolgreich gestalten und damit die Zertifizierung bestätigen. All unser Engagement aus dem vergangenen Jahr, unsere Informationssicherheit unter allen Umständen aufrechtzuhalten und auch weiter voranzutreiben, überzeugten nicht nur unsere Kunden und Partner, sondern ebenfalls die Auditoren erneut. Das positive Feedback der Auditoren speziell zur Steuerung der Risiken und zum Umgang mit Gefährdungen und ggf. Vorfällen, belohnt erneut für ein Jahr voller harter Arbeit und zeigt nicht nur uns, dass wir das Thema bestens angegangen sind und fortlaufend behandeln.

Unser Ziel ist es Datenschutz und Informationssicherheit stets ganzheitlich zu denken. Wichtig dafür ist die umfassende Einbindung der Mitarbeiter. Aus diesem Grund war im Jahr 2022 einmal mehr das Bewusstsein der Mitarbeiter im Fokus unserer Anstrengungen. Eine zentrale, harmonisierte Richtlinie, welche den sicheren Umgang mit Daten und Informationen regelt, ist für uns und unsere Mitarbeiter essenziell. Sie bildet die erste Anlaufstelle, wenn es um den sicheren Umgang mit Informationen geht und entscheidet damit über die Maßen über die Sicherheit der Informationen.

Neben organisatorischen Maßnahmen haben uns im Jahr 2022 auch technische Maßnahmen bewegt. Hier haben wir uns insbesondere dem Thema Logging und Monitoring (aus dem Control A.12.4) gewidmet. Wir haben es geschafft unseren Ansatz insbesondere durch Automatisierung weiterzuentwickeln und die Überwachung unserer Informationstechnik skalierbar für das weitere Wachsen des Unternehmens aufzustellen. Ganz gleich, ob es sich um Systeme an unseren Standorten oder in der Cloud handelt, die Informationssicherheit und vor Allem unsere Fähigkeit potenziell anomales Verhalten zu erkennen ist damit noch ein gutes Stück reifer geworden.

Auch konnten wir die Auditoren davon überzeugen, dass unsere neuen Ziele und Maßnahmen maßgeblich dazu beitragen die Sicherheit der Informationen im Unternehmen auch zukünftig zu gewährleisten. Bspw. wird im Jahr 2023 unsere Strategie zur Mitarbeitersensibilisierung deutlich weiterentwickelt. Uns soll es gelingen, alle Mitarbeiter an der Stelle abzuholen, an der sie sich gerade befinden. Auch wollen wir in die einzelnen Eigenheiten der unterschiedlichen Rollen im Unternehmen tiefer eintauchen und dezidiert dem Mitarbeitenden in seinem Verantwortungsbereich die Möglichkeit bieten Informationssicherheit ganzheitlich mitzudenken.