Suchen

IT-Sicherheit besser steuern – Teil 2

IT-Management: Verantwortungsbereiche klar abgrenzen und strukturieren

Seite: 3/4

Firma zum Thema

CISO nimmt strategische Geschäftsaufgaben wahr

Basis einer betriebswirtschaftlichen Erfassung ist die Klassifizierung sämtlicher Assets in den Dimensionen Vertraulichkeit, Integrität und Verfügbarkeit. Für eine möglichst genaue Bewertung von Verlusten in diesen Dimensionen anstatt nur abstrakter Einstufungen ist die Mitarbeit der Business Asset Owner unabdingbar. Nur sie können die Auswirkungen eines Verlusts von Vertraulichkeit, Integrität oder Verfügbarkeit für ihr jeweiliges Asset einschätzen.

Viele Security-Organisationen sind derzeit noch wenig geeignet, um eine unternehmensweite Anerkennung von „Informationen“ als Asset mit speziellem Schutzbedarf durchzusetzen. Sie sind häufig zu technisch aufgestellt und sehen sich selbst verantwortlich für den Schutz der Informationen. Die eigentlichen Asset Owner werden dabei häufig als unkooperativ und uneinsichtig wahrgenommen.

Dies liegt zum Teil auch daran, dass der CISO momentan eher nur die Regeln formuliert, aber bei der Umsetzung keinerlei Unterstützung bietet.

Das Bild des „Regulierenden Bremsers“ muss unternehmensintern aktiv zum „Bewahrer von Werten“ und „Business Enabler“ entwickelt werden. Der CISO kann und muss sich an den betriebswirtschaftlichen Zielen und Anforderungen seiner Organisation orientieren. Es sind dabei für ihn grundsätzlich alle Assets der Organisation „im Scope“. Techniken des Asset Managements können den CISO bei der Sichtung und Beurteilung der Assets unterstützen. Unabdingbar bleibt die Einordnung des Asset-Werts durch den jeweiligen Business Owner.

Eine solche Bewertung kann nicht allein durch den CISO im „luftleeren Raum“ erfolgen. Deshalb gilt es dessen Rollenprofil betriebswirtschaftlich möglichst konkret zu erfassen und zu strukturieren. Dessen Rolle hat betriebswirtschaftliche Aspekte, geht aber auch signifikant darüber hinaus. Eine aus Asset-Werten und quantifizierten Risiken abgeleitete Priorisierung muss die Basis für Entscheidungen des gesamten Sicherheitsmanagements sein – dieser Prozess sollte stark betriebswirtschaftlich ausgerichtet sein.

Der CISO darf aber in diesem Prozess nicht alleiniger Akteur sein, sondern muss über geeignete organisatorische Maßnahmen eine generelle Security Awareness im gesamten Unternehmen schaffen und Sicherheitsanforderungen in allen relevanten Geschäftsprozessen verankern. Die Business Owner sind letztendlich gesamtverantwortlich für die Informationssicherheit; der CISO muss die für das Business relevanten Teile des Sicherheitsmanagements verständlich machen und ihnen ermöglichen, ihre Rollen im Prozess sinnvoll auszuführen.

Seite 4: Risiko-Beurteilung bedarf genau quantifizierbarer Werte

(ID:2019509)