IT-Risiken und Gegenmaßnahmen standardisiert bewerten

CIO-Herausforderungen – Crime, Consolidation, Cloud

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Martin Kuppinger: „Computerkriminalität ist nur eine Facette innerhalb der Informationssicherheit.“
Martin Kuppinger: „Computerkriminalität ist nur eine Facette innerhalb der Informationssicherheit.“

Die IT-Sicherheit umfasst viele Handlungsfelder, derer man sich bewusst werden sollte. Wer alle Risiken kennt, kann sie gezielt adressieren oder auf Gegenmaßnahmen verzichten, wenn die Investition in keinem Verhältnis zum Nutzen steht.

Kürzlich habe ich eine Pressemitteilung gelesen – zu einer Keynote, die Dr. Wieland Alge, General Manager EMEA von Barracuda Networks, auf der eigenen technischen Konferenz gehalten hat. Gefallen hat mir die Pressemitteilung vor allem wegen ihres einprägsamen Titels: „Die drei (Alb)träume der CIOs: Crime, Consolidation und Cloud“.

Im Gegensatz zu vielen plakativen Aussagen von IT-Anbietern muss man feststellen: Der Titel beschreibt die Sachlage gut und ist nicht nur vom Wunsch getrieben, nette Schlagworte für die eigenen Produkte zu finden. Natürlich wird im weiteren Verlauf der Pressemitteilung dann (manchmal etwas bemüht) der Bezug zu den Barracuda-Produkten hergestellt. Die Idee ist aber gut.

In dem unlängst erschienen Report „IT-Initiativen 2012-2013: Eine 6*3-Matrix“ hat KuppingerCole die jeweils drei wichtigsten IT-Initiativen in sechs Handlungsfeldern zusammengefasst. Zu diesen Handlungsfeldern gehören unter anderem Informationssicherheit und Enterprise GRC (Crime), Konvergenz und Optimierung (Consolidation) und Cloud Computing.

Viele meiner vorangegangenen Kolumnen haben sich auch mit genau diesen Handlungsfeldern beschäftigt. Während Themen wie Konsolidierung, Konvergenz und Optimierung ganz klassische Themen sind, die nichtsdestotrotz wichtig sind, sind die beiden anderen Themenblöcken in den vergangenen Jahren immer mehr ins Blickfeld gerückt.

Fokus auf die IT-Risiken

Die wachsende Bedrohung durch die Computerkriminalität ist dabei ein ganz wesentliches Thema. Sie ist allerdings nur eine Facette innerhalb der Informationssicherheit und der steigenden Compliance-Anforderungen. Klar ist aber, dass man hier handeln muss. Der wichtigste Schritt dabei ist eine Risiko-orientierte Betrachtungsweise.

Statt hektisch in Einzellösungen zu investieren, braucht es einen standardisierten Ansatz zur Identifikation und Bewertung von Risiken und zur Umsetzung geeigneter Gegenmaßnahmen – wie es schon im 2009 erschienenen KuppingerCole Report „GRC Reference Architecture“ beschrieben ist (GRC: Governance, Risk Management, Compliance). Wenn man die größten Risiken kennt, kann man sie gezielt adressieren – oder auch akzeptieren, dass man bestimmte Risiken einfach in Kauf nehmen muss, weil es teurer wäre, sie zu adressieren.

Eines der wichtigsten Themen der nächsten Jahre wird dabei auch der Schritt über DLP (Data Leakage Prevention) hin zu Gesamtkonzepten der Data Leakage Resilience sein, also einem Ansatz, bei dem man nicht nur versucht, Datenverluste zu verhindern, sondern auch weiß, wie man auf die – leider unvermeidlichen – Datenverluste reagiert, den Schaden begrenzt und auch dazu kommuniziert, falls es erforderlich ist.

Die Cloud wiederum ist ein Thema, das CIOs nun schon lange beschäftigt. Dabei gilt als wichtigste Leitlinie, dass die Cloud nichts anderes ist als ein Bereitstellungsmodell für IT-Dienste. Die Frage ist also nicht, ob man die Cloud nutzen sollte oder nicht. Die Frage ist, wann die Cloud das bessere Bereitstellungsmodell als die interne IT-Produktion ist. Anders formuliert: Wenn man es richtig macht, reduziert sich die Frage einer Cloud-Strategie auf taktische Make-or-Buy-Entscheidungen.

IT strukturieren und vereinheitlichen

Wie eine IT aussehen sollte, die dem Business genau die benötigten Dienste und eine einheitliche Schicht für deren Management liefert, ist in KuppingerColes „Scenario: Understanding IT Service and Security Management“ beschrieben. Die Grundidee ist die Strukturierung der IT in drei Ebenen – die Bereitstellung von Business-Diensten, den Bezug und das Management von Diensten und die Dienst-Produktion in der internen IT oder in Clouds.

Dabei kommt die entscheidende Bedeutung für einen erfolgreichen Umgang mit der Cloud den Themen Service Management und, um die wachsenden Sicherheitsanforderungen zu adressieren, der Informationssicherheit zu. Wenn man die IT aber so strukturiert, dass man Dienste einheitlich betrachtet und verwaltet, gleich wo sie produziert werden, hat man bereits viele Probleme gelöst.

Denn dann geht es vor allem darum, standardisierte Bewertungsraster für die Auswahl von Cloud-Diensten zu definieren und umzusetzen, um dann schnell entscheiden zu können, woher man welchen Dienst am besten bezieht. Und das ist eben eine operative Aufgabe und keine strategische Herausforderung mehr.

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt. Die genannten Reports finden sich auf der Website von KuppingerCole.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 33736530 / Risk Management)