Newsletter Abonnieren
Newsletter
,

Struktur als Chance

Abteilungsübergreifende Unternehmenssicherheit

Viele Unternehmen neigen dazu, Sicherheitsfragen auf Abteilungs- oder Fachebene zu adressieren. Dabei birgt gerade der Blick auf verteilte Prozesse Potenzial zur Verbesserung der Unternehmenssicherheit, auch hinsichtlich der Beschleunigung von Abläufen.

Bild: accessec / istockphoto (puruan)

Die Analyse von Sicherheitsprozessen erfolgt häufig auf Abteilungs- oder Fachbereichsebene. Eher selten werden übergreifende Abläufe betrachtet und auf Verbesserungsmöglichkeiten durchleuchtet. Doch insbesondere die Betrachtung im großen Maßstab kann dazu beitragen, das Unternehmen als Ganzes besser aufzustellen und durch Abstimmung von Prozessen zwischen Nachbarbereichen und Abteilungen Mehrwert zu generieren. Ganz bewusst sollte dabei nicht zwischen den Themen der Werkssicherheit, der Mitarbeitersicherheit, der Informationssicherheit und des Datenschutzes unterschieden werden, sondern vielmehr der ganzheitliche Sicherheitsaspekt im Fokus stehen. Was in der Theorie einleuchtend klingt, ist in der Praxis allerdings oft schwer umsetzbar.

Einbindung aller Beteiligten als Grundlage

Ein elementarer Erfolgsfaktor solcher umfassenden Projekte ist es, Ansprechpartner aller relevanten Unternehmensbereiche einzubinden: von Personalwesen und Zeitwirtschaft, Informations- und Kommunikationstechnik über Werkschutz und Ausweiswesen bis zu Informationssicherheit und Datenschutz. Dass sich die Beteiligten in dieser Zusammensetzung meist noch nie getroffen und sich somit nie über ihre betrieblichen Wünsche und Anforderungen ausgetauscht haben, erschwert ein unternehmensübergreifendes Sicherheitsprojekt von Anfang an.

Um die Bedürfnisse und Erwartungshorizonte der einzelnen Fachbereiche an ein solches Vorhaben strukturiert zu erfassen, involvieren daher immer mehr Unternehmen externe Kompetenzträger, die mit Objektivität und der Erfahrung aus gleichgelagerten Projekte als Bindeglied fungieren. Dazu werden von auf Sicherheitsprojekte spezialisierten Anbietern wie Accessec gemeinsam mit den Fachbereichen individuelle Bedürfnisprofile erarbeitet, beispielsweise um Zutritts- und Zugriffsrechte festzulegen: Die Personalabteilung muss dazu verlässliche Stammdaten für Mitarbeiter erheben und im täglichen Ablauf eine möglichst genaue Erfassung von Arbeitsbeginn, Arbeitsende und Pausenzeiten gewährleisten. Die Werkssicherheit wiederum benötigt eine klare Aussage über Funktion und Einsatzort eines Mitarbeiters, damit die Zutrittsberechtigungen korrekt zugeordnet werden können.

Zur sinnvollen Erstellung solcher Profile bedarf es zudem einer Übersicht, welche Personenkreise wann in welchen Gebäudeteilen tätig sind und wie die Personenflüsse laufen. Gleichzeitig sollte der IT-Administration die genaue Positionsbeschreibung des Mitarbeiters zur Verfügung stehen, um ihm passende Rollen für den IT-Zugriff zuzuordnen. Als nützlich können sich auch Angaben erweisen, von wann sich der Mitarbeiter voraussichtlich im Büro, zu Hause oder bei Kunden aufhalten wird, um die Zugriffskontrolle entsprechend auslegen und gegebenenfalls Laptop und Smartphone für den mobilen Einsatz zuteilen zu können.

Für das Facility Management werden wiederum Angaben benötigt, an welchem Arbeitsplatz der Mitarbeiter sitzen wird und welche Ausstattung dieser Arbeitsplatz haben muss. Basierend auf den Aufgaben und Projekten des Mitarbeiters lassen sich schließlich Datenschutz und IT-Sicherheit bei Bedarf an die dem Mitarbeiter zugewiesenen Sicherheitsmerkmale anpassen – zum Beispiel durch Zuteilung von Smartcards oder einmaliger Zutrittsberechtigungen in Form von ‚One-Time-Password‘-Tokens (OTP).

Umfassende Sicht auf die Unternehmenssicherheit

Die jeweils benötigten Informationen erheben die betroffenen Abteilungen dabei häufig isoliert voneinander. Dies ist nicht nur ineffizient, sondern kann auch zu Übertragungs- und Erfassungsfehlern führen. Ein weiteres Problem ist die daraus häufig resultierende mehrfache Datenhaltung, die eine schnelle und unkomplizierte Bearbeitung erschweren und Probleme beim Abgleich der Datenquellen mit sich bringen kann. Dies kann etwa dazu führen, dass die IT-Administratoren zusammen mit dem Information Security Officer eine eigene Kartentechnologie für den PC-Zugriff und die Verschlüsselung aufbauen, während die Personalabteilung für die Zeiterfassung eine gesonderte Karte mit RFID-Chip einführt. Neben dem redundanten Einsatz von unterschiedlichen Technologien sind als Folge dann die Prozesse häufig nicht abgestimmt.

Schlüsselfaktor Informationsaustausch

Der erste Schritt hin zu einer effizienteren Lösung und damit der erfolgreichen Projektierung umfassender Unternehmenssicherheit betrifft daher die Verbesserung der Kommunikation. Dies trifft sowohl für Abteilungen als auch für die IT-Landschaft zu, denn ohne einen intensiven Austausch über die Anforderungen, Technologien und nötige Anpassungen können erfolgversprechende Umsetzungsszenarien nur schwerlich gefunden werden. Bereits durch einen übergreifenden Blick auf die verschiedenen Aufgaben und Arbeitsbereiche des Mitarbeiters lassen sich die dazu benötigten Stammdaten und Attribute identifizieren.

Eventuell dauert die Erhebung oder Bearbeitung eines solchen Stammdatensatzes in der Personalabteilung länger, jedoch profitieren nachgelagerte Organisationseinheiten sowohl bei der Zuteilung von Berechtigungen als auch im täglichen Betrieb von ineinander greifenden Prozessen. Auch aus finanzieller Sicht kann sich eine geordnete Herangehensweise, welche die Bedürfnisse der involvierten Fachbereiche auffängt, lohnen. So wirken Unternehmen dem Risiko entgegen, dass neu gestaltete Sicherheitsprozesse nicht oder nur zögerlich angenommen werden. Die durch die Reduzierung von Medienbrüchen und Fehlern bei der Datenerhebung erreichbaren Vorteile zeigt das Beispiel einer einheitlichen Zutrittslösung:

  • Schnelleres ‚Onboarding‘ neuer Mitarbeiter, da eine Zutrittskarte sämtliche Berechtigungsinformationen trägt
  • Schnellere Umsetzung von Änderungen bei Wechseln der Position im Unternehmen
  • Reibungsloser Austausch der notwendigen Stammdaten-Attribute zwischen den Systemen
  • Besserer Schutz persönlicher Informationen, da die benötigten Daten nur einmal erhoben und gespeichert werden

Auch die Mitarbeiter werden bei diesem Vorgehen entlastet, da sie nur einmal Angaben zur Person, Position und Aufgabe machen müssen. Bei Verlust oder Beschädigung des Ausweises ist die vorübergehende Deaktivierung oder die vollständige Sperrung schnell umsetzbar und auch die Ersatzausweis-Erstellung lässt sich zügig umsetzen. Da von Anfang an nur benötigte Berechtigungen erteilt werden, und nicht mehr benötigte Berechtigungen zeitnah entzogen werden können, kann sich ein deutlicher Sicherheitsgewinn ergeben.

Umfassende Kosten- und Nutzenanalyse

Standard-Produkte decken solche Integrationsgrade allerdings oft nicht vollständig ab. Verschiedene Anbieter haben ihre Lösungen zwar um Schnittstellen erweitert, eine weitreichende Harmonisierung erfordert jedoch eine umfassende Erhebung der Ist-Situation und die Bewertung der verfügbaren Optionen in einer Kosten-Nutzen-Analyse. Nicht in jedem Unternehmen sind alle angesprochenen Technologien vorhanden und nicht überall ist eine vollständige Integration aus Kostengesichtspunkten sinnvoll. Eine im Vorfeld durchgeführte Prozess-Analyse kann den für einen erfolgreichen Projektabschluss notwendige Überblick schaffen, ohne gleich hohe Kosten in Kauf nehmen zu müssen. Wollen Unternehmen nachhaltige Investitionsentscheidungen treffen, effiziente Sicherheitsvorkehrungen integrieren und belastbare Prozesse einführen, sollten sie sich diese Zeit nehmen. Der anfängliche Aufwand lässt sich in der Regel durch strukturierte Prozesse, schlanke Systeme, Kostensenkungen und nicht zuletzt zufriedene Mitarbeiter schnell kompensieren.

News

News

das könnte sie auch interessieren