Suchen

IT-Sicherheit besser steuern – Teil 1 IT-Management: Ohne konsistente Security Governance herrscht Chaos

| Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Der Reifegrad neu aufgelegter Managementkonzepte zur Absicherung kritischer IT-Infrastrukturen steht auch im Mittelpunkt der IT Security Governance, die als zwingendes zusätzliches Element in Governance-Richtlinien einfließen sollte. Alle relevanten Rahmenwerke gilt es zu einem in sich geschlossenen Gesamtkonzept zu vereinen.

Wie bei anderen Geschäftsprozessen gilt auch im Falle der IT-Sicherheit: Nur was man messen kann, kann man auch steuern.
Wie bei anderen Geschäftsprozessen gilt auch im Falle der IT-Sicherheit: Nur was man messen kann, kann man auch steuern.
( Archiv: Vogel Business Media )

Mit den bisherigen Patentrezepten allein lässt sich der immer professioneller agierenden Malware-Industrie kaum mehr beikommen. Deshalb sollte ein angemessenes Schutzkonzept – auch auf Metaebene – die Serviceorientierung im Unternehmen begleiten.

Konstruktive Ansätze fußen vor allem auf einer solide durchdachten Grundlage, die weder rein ökonomischen noch technischen Ansätzen huldigt, oder gar komplett losgelöst vom geschäftlichen Kontext operiert. Die neuen Zielmarken der IT-Sicherheit liegen in den Bereichen Messbarkeit und Business Alignment, gibt Vorstand Timo Kob von HiSolutions AG zu bedenken. Ansonsten erweise sich der auf dem Rechenschieber ermittelte Return-on-Security-Invest (ROSI) erneut als reine Totgeburt.

Einen guten Ansatz zur Ableitung eines Rahmenwerks aus den Geschäftsprozessen (Business Alignment) bietet nach Auffassung von Kob zum einen die neue Richtlinie ISO 27004, um aus allzu grobmaschig gestrickten „binären Bewertungskonzepten herauszutreten“. Dabei sei jedoch darauf zu achten, sich nicht in kleinteiligen Aspekten zu verlieren. Ansonsten ließe sich beim Management der IT-Sicherheit in der Summe die Formel „Effizienz + Effektivität = besser austariertes Gesamtsystem“ nicht realisieren.

Seite 2: Bewertung mittels Balanced Scorecard und anderer Kennzahlen

(ID:2019472)