Cyber- und Informationssicherheit als Voraussetzung für digitale Arbeit
Informationssicherheit und Datenschutz sind entscheidend für einen verantwortlichen digitalen Raum, insbesondere in einem Kontext, in dem Überwachung und der Missbrauch der Privatsphäre durch Unternehmen eine wachsende Bedrohung für Aktivisten und Gemeinschaften weltweit darstellt. Daher hat das Thema Informationssicherheit und eine proaktive Sicherheitskultur einen hohen Stellenwert in unserer Organisation.
Das tun wir
- Regelmäßige Information Security Schulungen für jede Mitarbeiter:in
- Sicherheits-Assessments als Standard in jedem Projekt / für jede neue Anwendung
- Keine personenbezogene Datenhaltung auf unserer Webseite, sondern nur in per API angeschlossenen Backend-Systemen
- 2- bzw. Multi-Faktor-Logins für Anwendungen
- Externes security operations center an 365 Tagen 24x7, damit auch außerhalb der Arbeitszeiten unserer drei IT Administratoren auf Sicherheitsvorfälle reagiert wird
- Externe Cybersecurity "Notfall"-Übungen
Hier wollen wir noch besser werden
Wir arbeiten weiterhin aktiv an dem Umbau unserer Infrastrukturen auf Zero-Trust-Infrastrukturen: Dabei wird per se kein Vertrauen (Prinzip "never trust, always verify") in in ein Netzwerk oder auf ein Endgerät gegeben, sondern an allen Stellen – egal ob zu Hause, im Büro oder unterwegs im Cafe – wird immer geprüft, ob für den gewünschten Zugriff auf Anwendung oder Daten
- eine Person wirklich die angegebene Benutzer:in ist und die Faktenlage Sinn ergibt (z.B. eine Person kann sich nicht innerhalb von 30 min aus Deutschland und den USA einloggen)
- das Endgerät ein Greenpeace Gerät ist (falls die Daten / Anwendung dies erfordern)
- die gewünschte Anwendung (egal ob im GP Rechenzentrum oder in einer Cloud für die Person zugelassen ist.
Es geht darum, IT-Sicherheit komplett neu zu denken: Jedes genutzte Endgerät und somit jeder Zugriffspunkt auf IT Systeme ist eine potenzielle Gefahrenquelle ...