Besonnener Umgang mit Security Policies
Produktivität versus Schutzbedürfnis
Eine grundsätzliche Frage, die sich Unternehmen bei der Erstellung von Security Policies stellen müssen ist, wem sie wie viel vertrauen (möchten). In der Vergangenheit listeten viele Unternehmen dabei in ihren Policies die Dinge auf, die den Mitarbeitern untersagt waren. In der Praxis hat sich dies jedoch oft als wenig praktikabel erwiesen, da sich Technologien sehr schnell entwickeln und neue Anwendungen in so einer Negativliste (zunächst) fehlen. Daher geht man heute dazu über, eher generell zu beschreiben, was unerwünscht ist – beispielsweise die private Nutzung des Internets am Arbeitsplatz. Bei solchen allgemeinen Richtlinien wird allerdings deren Kontrolle schwieriger.
Generell ist bei der Erstellung von Security Policies darauf zu achten, dass man nicht über das eigentliche Ziel hinausschießt und dabei seine Mitarbeiter zu sehr in ihren Freiheiten beschränkt und letztlich deren Produktivität verringert. Sicherheitsrichtlinien müssen immer eine Balance zwischen Schutzbedürfnis und Produktivität finden. Dies ist meist der schwierigste Teil des gesamten Prozesses. Hier sollte gelten, so restriktiv wie nötig und so frei wie möglich. Beispielsweise könnte bei einer Richtlinie zur angemessenen Nutzung des Internets die Erlaubnis zum Online-Shopping sogar positive Auswirkungen haben. Denn einerseits fühlen sich die Mitarbeiter gleich besser behandelt, da man ihnen vertraut, dass sie angemessen mit dem Internet umgehen können. Zudem können sie beim Online-Shopping sogar Zeit sparen, die sie sonst vielleicht in eine verlängerte Mittagspause mit Einkaufsbummel investiert hätten.
Wichtig ist dabei immer, dass Regeln verantwortungsbewusst, praktikabel und angemessen sein müssen. Denn wenn Richtlinien zu restriktiv sind, werden die Mitarbeiter immer einen Weg finden, sie zu umgehen. Gleichzeitig sollten Regeln immer präzise und leicht verständlich formuliert sowie implementierbar und durchsetzbar sein. Zudem sollten sie Informationen darüber enthalten, warum die Richtlinien überhaupt gebraucht werden, welche Bereiche sie abdecken, Ansprechpartner und Verantwortlichkeiten enthalten sowie darstellen, wie Verstöße geahndet werden.
