ICT-Arbeitsplatz vs. Datensicherheit? So gelingt die Balance
Was macht einen modernen ICT-Arbeitsplatz aus? Eine nicht ganz repräsentative Umfrage unter meinen Social Media Freunden auf Facebook, LinkedIn usw. hat ganz verschiedene Antworten ergeben. Was sich aber ganz sicher rauskristallisiert hat, ist das grenzenlose und sichere Arbeiten von überall her und zu jeder Zeit. Ohne lange Wartezeiten oder Performance Probleme. Was heisst das konkret für Sie als Arbeitgeber?
Fachbeitrag von Raffaele Sorra, Head of ICT, Mitglied der Geschäftsleitung Egeli Informatik AG
Das Wichtigste zuerst: Was ist ein moderner Arbeitsplatz?
Die ICT-Arbeitsplätze müssen abgestimmt sein auf Ihre Firmenkultur, Ihre Unternehmensstrategie und den Kundenanforderungen. Eine Fachkraft zur Entsorgung der Haushaltabfälle (Müllmann) braucht kein Homeoffice. Aber stellen Sie sich vor, er könnte mit der Unternehmensapp seine Arbeitszeiten erfassen, Urlaubsanträge stellen, das Arztzeugnis einreichen und wenn er unterwegs ist, Probleme auf seiner Route direkt mit Foto dokumentieren und der Einsatzzentrale oder dem Strassenverkehrsamt schicken. Das ist ein moderner Arbeitsplatz.
Sie sehen, die sogenannte Digitalisierung kann in alle Bereiche eines Unternehmens vordringen und unterstützen. Für Sie als Arbeitgeber bedeutet das natürlich ein grosses Umdenken. Ihre Firewall ist nicht mehr die digitale Grenze Ihres Unternehmens. Daten werden über die Cloud oder auch direkt auf die lokalen Geräte synchronisiert. Haben Sie das nötige Rüstzeug, um eine Richtlinie zu definieren und digital zu unterstützen?
Am meisten gefordert ist sicher die IT-Abteilung
- Bring-your-own-device (BYOD): Auf der einen Seite ist die Anfrage der Benutzer hoch, endlich Homeoffice zu machen. Sie bringen ihre eigenen Geräte (BYOD) mit ins Büro oder kommunizieren bereits über Whatsapp. Auf der anderen Seite müssen diese die Vorgaben aus der Unternehmensleitung abwarten und dann einhalten. Ich kenne Unternehmen, die tätigen alles mit BYOD. Dafür werden aber auch keine Unternehmensdaten auf den lokalen Geräten gespeichert und alles via Remote Desktop erledigt.
- Zwei-Faktor-Authentifizierung: Andere Unternehmen wiederum stellen die mobilen Geräte zur Verfügung, diese werden aber verschlüsselt, mit zwei Faktor-Authentifizierung gesichert und vom Unternehmen aus gemanaged. Nennen Sie mich old-school, aber mit den steigenden Daten-Leaks in den letzten Jahren und den immer einfacher werdenden Social Engineering Einstiegspunkten bin ich für eine klare Trennung. Informationen sollen nur dann das Unternehmen verlassen, wenn sie verschlüsselt oder mit entsprechenden Rights Management (IRM) abgesichert sind, ansonsten bleiben sie, wo sie sind.
- Sensibilisierung der Mitarbeiter: Spätestens jetzt sollten Sie auch Ihre Mitarbeiter sensibilisieren und im Umgang mit Informationen schulen. Beispielsweise mit Azure (Cloud-Computing-Plattform) steuert sich alles mit der Identität des Benutzers. Alles ist mit dieser zentralen Komponente gesteuert. Schützen Sie diese mit allem, was geht.
Für Zugriffsberechtigungen sensibilisieren
In einem nächsten Schritt müssen Sie den Zugriff auf die Unternehmensinformationen steuern. Beispielsweise kann der reguläre Zugriff auf das Unternehmensnetzwerk normal mit Benutzername und Passwort erfolgen. Sobald der Zugriff aber auf sensible Informationen erfolgt, sind zusätzliche Schutzmassnahmen notwendig:
- Token: Mit einem Token schützen Sie Ihre Informationen zusätzlich, da z.B. ein SMS Code, Google Authentificator usw. eingegeben werden muss, damit man auf die Daten Zugriff erhält.
- Zugriffsberechtigungen auf Dokumente: Steuern Sie zudem den Zugriff auf den Inhalt Ihrer Dokumente. Damit lassen sich sogar Dokumente schützen, welche Ihr Unternehmen verlassen haben. Beim Öffnen wird Kontakt mit dem Berechtigungsservice aufgenommen und nachgefragt, ob dieses Dokument noch freigegeben ist.
- Security Operations Center (SOC): Grössere Unternehmen gehen mit Vulnerability Management noch einen Schritt weiter und lassen die gesamte Infrastruktur auf verdächtige Aktivitäten überwachen und von einem SOC (Security Operations Center) bewerten.
Vielen widerstrebt die Vorstellung, dass die Daten das Unternehmen verlassen. Aber mit den entsprechenden Sicherheitsvorkehrungen, dem korrekten Umgang der Mitarbeiter mit Informationen sowie einer gesunden Portion Menschenverstand kann bereits ein sehr hohes Mass an Sicherheit erlangt werden.
Achten Sie auch gut, wem Sie Ihre ICT und vor allem Ihre Informationen anvertrauen. Soeben, am 19. November 2018, wurde bekannt, dass bei Hellocut die Daten von über 200 Friseuren verschlüsselt wurden. Der Anbieter wird vermutlich Tage und Nächte an einer Lösung arbeiten. Ich kenne die Hintergründe nicht genau, aber ein auf das Thema sensibilisiertes Unternehmen hat ganz sicher ein erprobtes Disaster Recovery für solche Fälle in der Schublade.
Was heisst das für den Arbeitnehmer?
Dem Arbeitnehmer bietet sich dafür in erster Linie neue Möglichkeiten an, aber auch viel Verantwortung. Einerseits kann er nun seine Arbeits- und Bürozeit flexibel einteilen und andererseits muss er die Richtlinien des Unternehmens einhalten. Die klassische Gratwanderung zwischen Sicherheit und Bequemlichkeit ist allgegenwärtig.
- Anweisungen der IT-Abteilung ernst nehmen: Beachten Sie die Anweisungen Ihrer IT-Abteilung bitte gut und nehmen Sie die Sicherheitstrainings ernst. In einem Beitrag hatte ich gelesen, dass über 90% der Sicherheitsvorfälle entweder durch fehlerhaftes Patch-Management oder über Social Engineering verursacht wurden. Um aktuelle Systeme kümmert sich hoffentlich ein professionelles Team. Bezüglich Einhaltung der Sicherheitstrainings liegt die Verantwortung bei Ihnen.
- Offline vs. Online-Zeiten: Über Work-Life-Balance gibt es genügend Literatur. Ich habe beispielsweise fix definierte Offline-Zeiten, an welchen ich konsequent keine E-Mails und Chats beantworte. Zeitgemässe Apps helfen Ihnen da hervorragend.
Fazit: Ein moderner Arbeitsplatz bietet viele Chancen, birgt aber auch grosse Risiken. Es ist immens wichtig, dass Unternehmer zusammen mit ICT-Profis über die Strategie die Köpfe zusammenstecken. Bieten Sie Ihren Mitarbeitern moderne Kollaborationswerkzeuge, sonst bedienen Sie sich selber, schlimmstenfalls sogar über WhatsApp & Co. Wenn Sie am Schluss noch Ihre Kunden einbeziehen, steigt deren Zufriedenheit, die Bindung und hoffentlich auch die Produktivität. Vergessen Sie die Sicherheit nicht.
Zeit für ein Gespräch?
Rufen Sie mich unter +41 71 221 12 27 an oder schreiben Sie mir ein E-Mail unter [email protected]. Gerne können wir Ihre Ausgangslage anschauen und ich erkläre Ihnen mögliche Szenarien, die genau auf Ihr Unternehmen passen.
EGELI Informatik AG
Teufener Strasse 36
9000 St. Gallen
+41 71 221 12 12
www.egeli-informatik.ch
[email protected]
Sie schaffen Arbeitsplätze, engagieren sich für die Region, sind flexibel und zugleich standhaft. Die Rede ist von Schweizer Familienunternehmen. Zu diesen zählt sich EGELI Informatik mit Stolz dazu.
Das Unternehmen, mit Sitz in St. Gallen und Zürich, ist bestrebt, seine familiären Werte, die partnerschaftliche und zuverlässige Arbeitsweise mit Kunden, Partnern und Mitarbeitern, umzusetzen. Dafür sind generationsübergreifendes Denken und Handeln, Zuverlässigkeit und nachhaltiges Arbeiten Grundvoraussetzung.