Kostenvermeidung durch die richtige Organisation

Gesamtverantwortung für IT-Sicherheit

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Das Problem Sicherheit: Punktlösungen sind nicht sicher

Fast noch schlimmer ist aber, dass gerade in solchen Situationen zwar tendenziell zu viel ausgegeben, aber zu wenig erreicht wird. Denn ohne Abstimmung der Maßnahmen auf verschiedenen Ebenen wird man zwar einzelne Risiken adressieren, aber oft Schlupflöcher lassen, die auf einer ganz anderen Ebene gestopft werden müssten. Man kauft sich also oft nur vermeintliche Sicherheit ein.

IT-Sicherheit erfordert eine strukturierte Analyse der maßgeblichen Risiken. Die Kenntnis von Risiken und ihre Bewertung ist die Basis, um dann entscheiden zu können, welchen Mix an technischen und organisatorischen Maßnahmen es braucht, um die Risiken erfolgreich verringern zu können.

Dazu braucht es technische Gesamtarchitekturen, die den Blick über Teilbereiche wie die Netzwerksicherheit mit Firewalls oder IDS/IPS-Lösungen oder die Endpoint-Sicherheit hinaus auf Gesamtlösungen richtet. Oft gibt es in dem einen oder anderen Bereich auch schon etwas, das hilft, Risiken in anderen Bereichen zu reduzieren oder sie gar nicht entstehen lässt.

Wer beispielsweise Informationen mit Hilfe von Information Rights Management über den gesamten Lebenszyklus hinweg verschlüsselt, kann vielleicht an anderer Stelle auf spezielle Verschlüsselungslösungen für sichere File-Transfers verzichten. Solange es aber niemand in der Organisation gibt, der hier den Durchgriff hat, gibt es genau diese ganzheitliche Sichtweise nicht. Mit mehr Geld wird dann weniger erreicht.

Zentralisierung schafft Probleme aus der Welt

In den IT-Organisationen braucht man einerseits eine zentrale Richtlinienverantwortung und Governance für den Bereich IT-Sicherheit, andererseits aber auch eine zentrale oder zumindest koordinierte Umsetzung und einen zentralen oder zumindest koordinierten Betrieb.

Projektorganisationen reichen dafür nicht aus, weil IT-Sicherheit ein Dauerthema ist. Es benötigt eine adäquate Organisation. Diese umfasst einerseits die Einheit, die für Richtlinien und Governance zuständig ist. Sie muss aber auch operative Einheiten umfassen, die sich um die Architektur und konzeptionelle Vorgaben kümmert. Idealerweise werden dabei auch die Aufgaben, die primär IT-Sicherheit sind, wie beispielsweise Firewalls, Endpoint-Sicherheit oder IAM, zentralisiert.

Alle Bereiche werden sich aber nicht zentralisieren lassen. Das wird schon deutlich, wenn es um die Anwendungsentwicklung und -beschaffung geht, aber auch beim Betrieb von grundlegenden Infrastrukturen wie dem Active Directory, die nicht nur Sicherheits-, sondern auch Infrastrukturfunktionen haben.

Dort, wo sich Aufgaben nicht bündeln lassen, braucht es aber eine Richtlinienkompetenz für den Bereich IT-Sicherheit und Governance-Konzepte, mit denen beispielsweise Anwendungsarchitekturen bereits frühzeitig unter Sicherheitsaspekten geprüft werden oder Beschaffungsentscheidungen – auch von Cloud-Diensten – frühzeitig auf ihre Konformität zu den IT-Sicherheitsvorgaben geprüft werden.

Was Unternehmen heute zwingend benötigen, sind IT-Organisationen, bei denen das Thema IT-Sicherheit nicht mehr unkoordiniert auf viele Bereiche aufgeteilt ist, sondern gebündelt ist. Das bedeutet eine neue, stärkere Rolle für den CISO – aber nicht nur für ihn.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42981225 / Risk Management)