Interview: 7 Dinge, die einen guten Auditor auszeichnen

Sind Auditoren echte Alleskönner? Das vielleicht nicht, aber sie müssen auf jeden Fall über vielfältige Kompetenzen verfügen. Welche das sind, beschreibt DGQ-Trainer und DQS-Senior-Auditleiter Andreas Altena im Interview.

Das zeichnet einen guten Auditor aus

Respekt

Audits sind in Unternehmen oftmals Stresssituationen für viele Mitarbeiter. Die Angst, der Auditor könne Fehler entdecken überwiegt vor dem Wissen, dass ein Audit vor allem dazu dient, Verbesserungsmöglichkeiten aufzuzeigen. Auditoren müssen daher in der Lage sein, respektvoll und mit dem nötigen Feingefühl aufzutreten.

Wertschätzung

Wertschätzende Kommunikation ist im Audit das A und O. Dies gelingt guten Auditoren unter anderem durch positive Formulierungen in Auditberichten – auch wenn Abweichungen festgestellt worden sind.

Gute Vorbereitung

Wertschätzung bezieht sich jedoch nicht auf die Art der Kommunikation allein. Die richtige Auditplanung und gründliche Vorbereitung seitens des Auditors sind ebenso essenziell, um ein Audit erfolgreich und wertschätzend durchführen zu können.

Fachkompetenz

Auditoren müssen nicht nur Auditverfahren, -prinzipien und -techniken kennen, sondern auch relevante Gesetze und die auditierte Organisation. Neben der gründlichen Vorbereitung sind daher auch branchenspezifische Kenntnisse unabdingbar.

Sozialkompetenz

Der Auditor fragt – der Auditierte antwortet. Ganz so leicht ist es oftmals jedoch nicht. Um Stress- und Konfliktsituationen zu vermeiden (oder Ihnen Herr zu werden) und ein positives Gesprächsklima zwischen allen Beteiligten zu schaffen, benötigen gute Auditoren vor allem eine hohe Sozialkompetenz.

Objektivität

Ob produzierendes Gewerbe oder im Dienstleistungsbereich: Jedes Unternehmen ist anders und hat andere Lösungen parat. Hier gilt es, objektiv zu bleiben und offen zu sein für die Lösungen, die einem präsentiert werden.

Authentizität

Nicht nur für Auditoren, auch für Auditierte gilt: Authentisch bleiben! Nur dann gelingt der Dialog auf Augenhöhe.

 

Sie interessieren sich für eine Tätigkeit als Auditor? Hier finden Sie alle Informationen zu den Audit-Lehrgängen der DGQ.

Interview: So aktuell ist Informationssicherheit

Informationssicherheit gewinnt branchenübergreifend an Bedeutung

Nicht nur für Banken, Versicherungen und Energieversorger ist ein Managementsystem für Informationssicherheit (ISMS) relevant. Auch in anderen Branchen wie der Automobilbranche mit den zahlreichen Zulieferern, Informationsflüssen und hartem Wettbewerb ist das Thema wichtig. Ob bei der Produktentwicklung oder laufenden Produktion – Informationen über Produkte und Kunden müssen geschützt werden, um langfristig erfolgreich zu sein. Warum das so ist, berichtet DGQ-Trainer und Informationssicherheits-Experte Andreas Altena im Interview.

Neues Gesetz fordert Mindestniveau an IT-Sicherheit

Übrigens: Mitte des Jahres hat der Bundestag das IT-Sicherheitsgesetz beschlossen. Ziel des Gesetzes ist es, dass Betreiber von „kritischen Infrastrukturen, wie Banken, Krankenhäuser oder Energieversorger, künftig ein Mindestniveau an IT-Sicherheit einhalten müssen. Künftig müssen sie Angriffe aus dem Netz dem BSI (Bundesamt für Sicherheit in der Informationstechnik) melden. Tun sie dies nicht, drohen Bußgelder. Das BSI wertet die eingegangene Informationen aus und warnt andere Unternehmen, die ebenfalls betroffen sein könnten.

Aktuelle DGQ-Trainingsreihe läuft seit Herbst

Diese Entwicklung hat die DGQ zum Anlass genommen, ihr Angebot im Bereich Informationssicherheit zu aktualisieren und seit Herbst 2015 eine Trainingsreihe anzubieten. In insgesamt fünf Tagen lernen Teilnehmer die unterschiedlichsten Aspekte von Informationssicherheit und Risikomanagement kennen. Anhand eines beispielhaften Unternehmens trainieren sie, ein Managementsystem dieser Art einzuführen und aufrechtzuerhalten.

Nähere Informationen zur Trainingsreihe erhalten Interessenten bei DGQ-Produktmanagerin Anja Lütjens (T 069 95424-214, al@dgq.de).

Interview: So wird das interne Audit ein Erfolg

Worauf müssen Auditoren achten, damit Unternehmen von einem internen Audit bestmöglich profitieren? Wichtig ist z. B., das Audit gut zu planen und die richtigen Auditkriterien festzulegen. Was es darüber hinaus zu beachten gilt, erzählt DGQ-Trainer und DQS-Senior-Auditleiter Andreas Altena in diesem Interview, das er kürzlich mit Produktmanagerin Anja Lütjens geführt hat.

Weitere Informationen erhalten Sie im Interview: 7 Dinge, die einen guten Auditor auszeichnen und im DGQ-Trainingsprogramm zum Thema Audit.

Interview: 7 Dinge, die einen guten Auditor auszeichnen

Sind Auditoren echte Alleskönner? Das vielleicht nicht, aber sie müssen auf jeden Fall über vielfältige Kompetenzen verfügen.

Welche das sind, beschreibt DGQ-Trainer und DQS-Senior-Auditleiter Andreas Altena in diesem Video-Interview, das er mit Produktmanagerin Anja Lütjens geführt hat.

Das zeichnet einen guten Auditor aus

Respekt

Audits sind in Unternehmen oftmals Stresssituationen für viele Mitarbeiter. Die Angst, der Auditor könne Fehler entdecken überwiegt vor dem Wissen, dass ein Audit vor allem dazu dient, Verbesserungsmöglichkeiten aufzuzeigen. Auditoren müssen daher in der Lage sein, respektvoll und mit dem nötigen Feingefühl aufzutreten.

Wertschätzung

Wertschätzende Kommunikation ist im Audit das A und O. Dies gelingt guten Auditoren unter anderem durch positive Formulierungen in Auditberichten – auch wenn Abweichungen festgestellt worden sind.

Gute Vorbereitung

Wertschätzung bezieht sich jedoch nicht auf die Art der Kommunikation allein. Die richtige Auditplanung und gründliche Vorbereitung seitens des Auditors sind ebenso essenziell, um ein Audit erfolgreich und wertschätzend durchführen zu können.

Fachkompetenz

Auditoren müssen nicht nur Auditverfahren, -prinzipien und -techniken kennen, sondern auch relevante Gesetze und die auditierte Organisation. Neben der gründlichen Vorbereitung sind daher auch branchenspezifische Kenntnisse unabdingbar.

Sozialkompetenz

Der Auditor fragt – der Auditierte antwortet. Ganz so leicht ist es oftmals jedoch nicht. Um Stress- und Konfliktsituationen zu vermeiden (oder Ihnen Herr zu werden) und ein positives Gesprächsklima zwischen allen Beteiligten zu schaffen, benötigen gute Auditoren vor allem eine hohe Sozialkompetenz.

Objektivität

Ob produzierendes Gewerbe oder im Dienstleistungsbereich: Jedes Unternehmen ist anders und hat andere Lösungen parat. Hier gilt es, objektiv zu bleiben und offen zu sein für die Lösungen, die einem präsentiert werden.

Authentizität

Nicht nur für Auditoren, auch für Auditierte gilt: Authentisch bleiben! Nur dann gelingt der Dialog auf Augenhöhe.

 

Sie interessieren sich für eine Tätigkeit als Auditor? Hier finden Sie alle Informationen zu den Audit-Lehrgängen der DGQ.

Interview: Informationssicherheit – die drei größten Knackpunkte

Was sind die drei größten Knackpunkte, wenn man ein Managementsystem für Informationssicherheit einführen will? Dieser Frage gehen DGQ-Produktmanagerin Anja Lütjens und Andreas Altena, DGQ-Trainer und Experte für Informationssicherheit, auf den Grund. In der letzten Woche haben die beiden bereits über die Aufgaben einen Informationssicherheits-Beauftragten gesprochen.

Mehr erfahren über die DGQ-Trainings zum Thema Informationssicherheitsmanagement

Interview: Was macht eigentlich ein Beauftragter für Informationssicherheit?

Die Sicherheit von Informationen rückt mehr und mehr in den Fokus der Öffentlichkeit. Sei es durch den Verlust von Kundendaten, ungeschützte Datenbanken oder die NSA-Affäre. Eine sich in der Wirtschaft immer mehr verbreitende Maßnahme, relevante Informationen zu sichern, ist die Einführung eines Managementsystems für Informationssicherheit nach DIN ISO/IEC 27001.

Wie die Aufgaben rund um ein Managementsystem dieser Art aussehen, zeigt ein Interview, das Produktmanagerin Anja Lütjens mit Andreas Altena geführt hat. Altena ist Experte für Informationssicherheit und DGQ-Trainer.

Mehr erfahren über die DGQ-Trainings zum Thema Informationssicherheitsmanagement

Informationssicherheit kinderleicht gemacht

ISMS - Informationssicherheit

„Ich habe nichts zu verbergen!“

Es überrascht mich immer wieder aufs Neue, dass viele Menschen in meiner Umgebung kein Problem damit haben, Tag für Tag freiwillig persönliche Informationen von sich preiszugeben, oft mit der Begründung: „Ich habe nichts zu verbergen!“ Dabei hat jeder meiner Bekannten mindestens ein Smartphone oder Tablet und weiß inzwischen, dass es sich hierbei um richtige Datenschleudern handelt. Doch der Komfort der allseits geliebten, schnell installierten, zum Teil aber vollkommen überflüssigen Apps wird häufig mehr geschätzt als die eigenen Sicherheitsinteressen.

Wie soll Informationssicherheit da bloß erst im beruflichen Umfeld klappen?, frage ich mich dann häufig.

Neben Bequemlichkeit ist es oft Gedankenlosigkeit, die ich im Umgang mit sensiblen Daten beobachte: Erst kürzlich saß ich im ICE von Frankfurt nach Köln. Ein paar Reihen vor mir arbeitete ein Geschäftsmann. Er hatte sein Laptop aufgebaut, daneben legte er seine Papierunterlagen offen auf den Tisch – beides: digitale und analoge Informationen für jeden Neugierigen einsichtig. Nach einiger Zeit hatte er ein dringendes Bedürfnis. Also sperrte er seinen Laptop – zumindest das –, nahm sein Portemonnaie und ging weg. Die Papierunterlagen blieben offen und ungeschützt liegen.

Ist ein Daten-Striptease sexy?

Kein Vorstand und Geschäftsführer kann in seinem Unternehmen einen solch unbe-kümmerten Umgang mit internen Informationen dulden. Sollte man meinen: Allerdings zeigt der Cisco Annual Security Report 2015, der in seiner neuesten Ausgabe sowohl Cybersecurity-Trends als auch die aktuelle Situation der IT-Sicherheit in Unternehmen untersucht, dass 90 Prozent der Sicherheitsverantwortlichen in Unternehmen von ihren Sicherheitsvorkehrungen in geradezu erschreckender Weise überzeugt sind. Deshalb halten es auch nur 60 Prozent für notwendig, wenigstens ihre Systeme regelmäßig zu aktualisieren. Dabei müssen sich die Unternehmen dringend für bereits vorhandene Herausforderungen ebenso wie für künftige wappnen.

Schutz ist so einfach!

In vielen Fällen ist es ganz einfach, sensible Daten vor den Blicken von Neugierigen zu schützen. Hier einige Tipps, die jeder sofort umsetzen kann:

  • So lässt sich das Display kinderleicht mit einer Blickschutzfolie gegen unerwünschte Einsicht sichern.
  • Papierunterlagen mit vertraulichen Informationen sollten gar nicht erst in der Öffentlichkeit benutzt werden. Wenn dies im Einzelfall jedoch unvermeidlich ist, dann sollte auf einen Sichtschutz geachtet werden – z. B. indem, die Tasche davor gestellt oder der Arm darüber gelegt wird. Danach sind die Unterlagen unverzüglich wieder in die Tasche zu packen und überallhin mitzunehmen.
  • Auch Telefongespräche, in denen es um vertrauliche Informationen geht, sollten an öffentlichen Orten nach Möglichkeit vermieden werden. Besser das Gespräch auf einen späteren Zeitpunkt verschieben, wenn die Diskretion gewahrt werden kann.

Jeder sollte sich prinzipiell überlegen, welcher Ort für welche Information der geeignete ist oder durch entsprechende Hilfsmittel zu einem solchen gemacht werden kann.

Schaffen Sie Informationssicherheit!

ISMS - Informationssicherheit

Ist die Realität tausendfach schrecklicher als in Orwells „1984“?

Das zumindest befürchtet der ehemalige Spiegel-Redakteur Hans-Wolfgang Sternsdorff, der 1983 die damalige Realität, vor allem in den sozialistischen Staaten des Ostblocks, mit den Überwachungsszenarien des berühmten Buches abgeglichen und 2014 eine Neubewertung vorgenommen hatte.

Tatsächlich kann niemand mehr Augen und Ohren vor der Dringlichkeit des Problems verschließen: NSA-Skandal, zahlreiche Hackerangriffe auf sensible Daten, unsicheres Telefonieren übers Internet … die Informationssicherheit ist längst zu einem Dauerbrenner in den Nachrichten avanciert.

In einem Punkt dürfte Sternsdorff vorerst recht behalten: Solange nicht entschieden ist, ob der Persönlichkeitsschutz über Anti-Terror-Maßnahmen steht, sind keine wirksamen Gegenmaßnahmen seitens der Regierung zu erwarten. Deshalb müssen sich Bürger und Unternehmen selbst um den Schutz ihrer Daten und Informationen kümmern.

Eine Balance zwischen Komfort und Informationssicherheit

Wenn ich mich mit dem Thema Informationssicherheit auseinandersetze, nehme ich zunächst systematisch die Risiken des Verlustes von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in den Blick. Im zweiten Schritt versuche ich, eine Balance zwischen Komfort in der alltäglichen Praxis und Informationssicherheit zu finden. Unternehmen empfehle ich für eine solche Vorgehensweise die internationale Norm ISO/IEC 27001, die mit ihren zielführenden Standards einen guten Leitfaden zur Umsetzung darstellt.

Die internationale Norm ISO/IEC 27001

Die internationale Norm ISO/IEC 27001 definiert die Anforderungen für Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems, das zertifiziert werden kann. Die zentrale Frage dabei lautet: Was kann getan werden, damit Informationen in einer für mein Unternehmen angemessenen Art und Weise geschützt werden können?

Jede Unternehmensleitung muss sich zunächst fragen, welche Rahmenbedingungen für das unternehmerische Handeln bezogen auf die Informationssicherheit vorliegen: Was erwarten diesbezüglich Versicherungen, Banken, Behörden, Kunden und Mitarbeiter? All diese unterschiedlichen Interessenlagen und deren Schnittstellen bilden die Ausgangssituation für die strategische Ausrichtung der Informationssicherheit. Hieraus muss das Unternehmen eine angemessene Vorgehensweise für den Prozess des Risikomanagements, dem zentralen Kernelement in der Umsetzung, entwickeln.

Vorteile eines Informationssicherheitsmanagementsystems

In der Praxis habe ich gelernt, dass der Aufbau eines Informationssicherheitsmanagementsystems oder dessen Integration in ein integriertes Managementsystem den Unternehmen viele Vorteile bietet: zunächst Rechtssicherheit und Haftungsreduzierung, darüber hinaus oft schon mittelfristig eine spürbare Kostenreduzierung, weil Sicherheitsereignisse beziehungsweise Datenschutzvorfälle vermieden werden. Nicht zuletzt möchte ich darauf hinweisen, dass auch die Transparenz für alle Beteiligten steigt, denn Regelungen und Schnittstellen für Prozesse sowie Verantwortungen und Zuständigkeiten sind klar definiert. So meine Erfahrung.

Bitte bedenken Sie: Eindeutige Vorgaben reduzieren für Ihre Mitarbeiter die Komplexität von Prozess- und Verfahrensbeschreibungen und senken damit das Risiko von Missverständnissen und Fehlinterpretationen in der täglichen Arbeit.

Fachchinesisch für Anfänger: Die Informationssicherheit hat ihre ganz eigene Sprache

ISMS - Informationssicherheit

In den letzten Monaten werden wir mit Nachrichten aus einer IT-Welt überschwemmt, die in beängstigendem Umfang unsicher scheint – Geheimdiensten, Terroristen und Krimi­nellen scheinen Tor und Tür zu unseren Daten offen zu stehen. Keine Woche vergeht, in der nicht über neue Datenvorfälle berichtet wird oder alte ungeahnte Ausmaße ange­nommen haben: NSA-Skandal, zahlreiche Hackerangriffe auf sensible Daten, unsicheres Telefonieren übers Internet … leider ist die Informationssicherheit längst zu einem Dauerbrenner in den Nachrichten geworden.
Hinzu kommt, dass sich in Bezug auf dieses Thema mittlerweile eine ganz eigene Sprache etabliert hat, deren Begrifflichkeiten sauber auseinander gehalten werden sollten, damit es nicht zu Missverständnissen kommt.

Fachchinesisch für Anfänger

WM 2014 in Brasilien, es spielt Deutschland gegen die USA. Das Wetter passt auch. Vorsorglich habe ich den Grill angeworfen, das Bier kalt gestellt. Freunde und Nachbarn kommen vorbei und es wird ein lustiger Abend. Nach wenigen Minuten stehe ich zwischen lauter Nationaltrainern: Über Fußballer und Schiedsrichter wird gefrotzelt und gelästert, Spiel und Ergebnis intensiv diskutiert.

Dann kommt plötzlich das Gespräch auf den NSA-Skandal. Begriffe wie Datenschutz und IT-Sicherheit fallen. „Unter einen vernünftigen Datenschutz sollten auch endlich sichere Telefonanlagen und Smartphones fallen“, ruft jemand. Ein anderer meint: „Die Informationssicherheit ist doch gesetzlich verankert, da könnte unsere Regierung doch ganz anders durchgreifen.“
Ich schmunzle und stelle wieder einmal fest, dass eine klare Definition der Begriffe für eine ernsthafte Diskussion absolut notwendig ist.

Worüber sprechen wir?

Datenschutz: Gesetzlich verankert schützt der Datenschutz das Recht auf informationelle Selbstbestimmung. Im Fokus stehen personenbezogene Daten, die persönliche (etwa Name oder Krankheiten) oder sachliche Verhältnisse (etwa Eigentumsverhältnisse oder Steuern) beschreiben.

IT-Sicherheit (Datensicherheit): Die IT- oder auch Datensicherheit beinhaltet die Sicherheit von informationsverarbeitenden Anlagen, vor allem die technische Bearbeitung und Übertragung.

Informationssicherheit: Hier ist das Ziel der Schutz von Informationen – egal ob sie analog (in Papierform), digital (als Datei) oder in sprachlicher Form (etwa beim Telefonat) vorliegen. Informationssicherheit umfasst damit gleichzeitig die Themen IT-Sicherheit und Datenschutz.

Ich habe hier nur die wichtigsten drei Oberbegriffe vorgestellt.

Fallen Ihnen weitere Begrifflichkeiten im Zusammenhang mit Informationssicherheit ein, die Ihnen nicht klar sind oder die Sie diskutieren wollen?