Suchen

Kennzahlensysteme fürs Security Management Informationssicherheit mit COBIT und Balanced Scorecard messen

| Redakteur: Stephan Augsten

Auch für das IT-Sicherheitsmanagement gilt die alte Manager-Weisheit: „You can’t manage what you don’t measure.” Ohne geeignete Kennzahlensysteme befindet man sich nämlich im Blindflug. Dieser Artikel befasst sich mit der Entwicklung eines Kennzahlensystems auf Basis von COBIT und der Balanced Scorecard.

Firma zum Thema

Ein Kennzahlen-System auf Basis von COBIT erlaubt es, den Grad der Informationssicherheit abzuwägen.
Ein Kennzahlen-System auf Basis von COBIT erlaubt es, den Grad der Informationssicherheit abzuwägen.
( Archiv: Vogel Business Media )

Dr. Thomas Störtkuhl, (ISC)²-zertifizierter CISSP

Um die Reife der implementierten Informationssicherheit in Unternehmen zu beschreiben, sollte man ein Kennzahlensystem entwickeln. Ausgangspunkt dabei ist ein Managementsystem für Informationssicherheit (im Folgenden kurz als ISMS bezeichnet). Es gilt, das ISMS und seine Wirksamkeit im weiteren Verlauf zu beurteilen. Dies soll auf der Grundlage von Control Objectives for Information and related Technology (COBIT) und der Methodik der Balanced Scorecard erfolgen.

Die Methodik der Balanced Scorecard

Ein wichtiges Ziel der Balanced Scorecard ist es, eine Kontrolle der Aktivitäten einer Organisation im Hinblick auf ihre übergeordnete Strategie zu ermöglichen. Dabei werden im Allgemeinen neben der Finanzperspektive unter anderem auch Personalressourcen und Geschäftsprozesse betrachtet.

Bildergalerie

Die Balanced Scorecard verbindet die sogenannten Perspektiven wie Finanzen, Kunden, Prozesse und Mitarbeiter mit der Strategie des Unternehmens. Für die jeweiligen Perspektiven sind gemäß der übergeordneten Strategie der Organisation Ziele, Maßnahmen, Kennzahlen und zugehörige SOLL-Werte zu definieren.

Die Strategie wird so konkret und leichter verständlich. Dieses Vorgehen lässt sich auch auf das Management der Informationssicherheit übertragen (siehe Abbildung 1 der Bildergalerie).

Ableitung von Zielen und zugehörigen Kennzahlen nach COBIT

Control Objectives for Information and related Technology (COBIT) ist ein Kennzahlensystem, das sich an den Geschäftszwecken des Unternehmens orientiert. Dabei werden die Geschäftsziele mit den IT-Zielen direkt verknüpft. Die Geschäftsziele sind in COBIT den Perspektiven der Balanced Scorecard zugeordnet.

Den IT-Zielen werden wiederum Prozesse aus 34 definierten IT-Prozessen zugeteilt. Zudem liefert COBIT Metriken und Reifegradmodelle für die angegebenen IT-Prozesse. Somit ermöglicht COBIT ein klares Vorgehen, um IT-Ziele, Maßnahmen und Kennzahlen aus den Geschäftszielen abzuleiten. Dieses Schema wird im Folgenden für die Ableitung von Zielen und Kennzahlen für die Informationssicherheit an einem Beispiel angewendet.

Für die Perspektive Mitarbeiter wird im COBIT als Geschäftsziel z.B. „Einstellung und Entwicklung von qualifizierten und motivierten Mitarbeitern“ genannt. Diesem Geschäftsziel ist unter anderem das IT-Ziel „Einstellung und Entwicklung motivierter Mitarbeiter, die zu der IT-Strategie passende Skills vorweisen können“ zugeordnet. Zur Erreichung dieses Ziels hat COBIT bspw. den Prozess PO7 „Manage das IT Personll“ vorgesehen.

Als eine mögliche Kennzahl wird dabei die „Fluktuation beim IT Personal“ angegeben. Für die Informationssicherheit ergibt sich analog daraus als Ziel: „Einstellung und Entwicklung motivierter Mitarbeiter mit passenden Skills zur Umsetzung der Strategie und Ziele der Informationssicherheit“. Die dazugehörige Kennzahl ist: „Fluktuation des Personals, das das ISMS betreibt und verantwortet“.

Seite 2: Auswahl der Kennzahlen

(ID:2049587)