Kostenvermeidung durch die richtige Organisation Gesamtverantwortung für IT-Sicherheit

Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

In vielen Unternehmen gibt es zwar einen Chief Information Security Officer. Faktisch ist die Verantwortung für die IT-Sicherheit aber auf viele Bereiche verteilt. Netzwerksicherheit, Endpoint Security oder auch Identity- und Access-Management werden isoliert betrachtet. Das verursacht unnötige Kosten.

Anbieter zum Thema

Wo eine Zentralisierung der IT-Sicherheitsaufgaben nicht infrage kommt, ist eine gute Zusammenarbeit vonnöten.
Wo eine Zentralisierung der IT-Sicherheitsaufgaben nicht infrage kommt, ist eine gute Zusammenarbeit vonnöten.
(Bild: Archiv)

Martin Kuppinger: „IT-Sicherheit erfordert eine strukturierte Analyse der maßgeblichen Risiken.“
Martin Kuppinger: „IT-Sicherheit erfordert eine strukturierte Analyse der maßgeblichen Risiken.“
(Bild: KuppingerCole)
Sehr viele Unternehmen haben heute einen CISO (Chief Information Security Officer), teils auch als „Leiter IT-Sicherheit“ oder anders betitelt. Oft reichen die Kompetenzen des CISO aber nicht aus, um das Ziel verbesserter IT-Sicherheit bei optimierten Kosten zu erreichen.

Das liegt daran, dass die Zuständigkeit für viele Aufgaben der IT-Sicherheit auf unterschiedliche operative Bereiche der IT aufgeteilt ist. Der CISO hat oft zwar Kontrollfunktionen und soll Architektur- oder Investitionsentscheidungen mit Blick auf die IT-Sicherheit zustimmen. Der tatsächliche Einfluss auf das, was im Bereich der IT-Sicherheit investiert und betrieben wird, ist häufig aber gering.

Es reicht nicht aus, wenn nur Vorgaben beispielsweise zur Stärke der Authentifizierung oder der Erfordernis, bestimmte Informationen zu verschlüsseln, gemacht werden können. Denn solche Vorgaben alleine führen nicht zu einem konsistenten Ansatz für IT-Sicherheit, der darauf abzielt, gezielt die größten Risiken zu verringern.

Das Problem Kosten: Punktlösungen kosten mehr

Eines der Resultate einer solchen Organisationsstruktur ist, dass nicht gezielt in IT-Sicherheit investiert wird. Im schlechtesten Fall kümmern sich Bereiche wie beispielsweise die IT-Infrastruktur-Administratoren mit dem Endpoint-Management nicht ausreichend um das Thema. In vielen Fällen erhalten die Fachabteilungen, wie heute noch oft beim Thema IAM (Identity and Access Management) zu beobachten, auch keine ausreichenden Budgets.

Im besten Fall wird in Sicherheit investiert – aber an vielen verschiedenen Stellen und mit einem Mangel an Koordination. Ein gutes Beispiel ist die Sicherheit von mobilen Endgeräten, wobei es eigentlich nicht um die Gerätesicherheit sondern um die Informationssicherheit geht.

Hier finden sich Lösungsansätze im Netzwerkbereich, beim Mobile Device Management, auf Anwendungsebene, als Teil von IAM-Lösungen und als Teil des Information Rights Management. Wenn es keine koordinierte Gesamtstrategie gibt, ist das Risiko von unnötigen Investitionen und Betriebskosten hoch.

(ID:42981225)