Suchen

IT-Sicherheit besser steuern – Teil 2

IT-Management: Verantwortungsbereiche klar abgrenzen und strukturieren

Seite: 4/4

Firma zum Thema

Risiko-Beurteilung bedarf genau quantifizierbarer Werte

Ohne Bewertungsgrundlage aus dem Business ist ein Security Asset Management nicht sinnvoll umsetzbar. IT-Risikomanagement kann dabei nur als Teil eines ganzheitlichen unternehmensweiten Risikomanagements sinnvoll funktionieren und einen Mehrwert für das Unternehmen liefern. Darüber hinaus ist eine Verankerung der Notwendigkeit von Sicherheitsmaßnahmen über Einbindung der verantwortlichen Mitarbeiter der Unternehmensbereiche im Sicherheitsmanagement essentiell.

Nur so können Entscheidungen insbesondere zu umzusetzenden Sicherheitsmaßnahmen betriebswirtschaftlich legitimiert und deren Akzeptanz sichergestellt sein. Einen weiteren wichtigen Baustein stellt das Security-Reporting dar, idealerweise aggregiert in eine unternehmensweite Balanced Scorecard.

In dieses Security Reporting und die verwendeten Metriken sollten im Wesentlichen auch betriebswirtschaftliche Bewertungen der betrachteten Assets und der verbundener Risiken einfließen. Letztendlich muss der CISO ein unternehmensweites Sicherheitsbewusstsein schaffen anstatt nur theoretische Policies und Richtlinien aus dem Elfenbeinturm zu produzieren.

Standards können bei der Erfüllung dieser Aufgabe helfen. Ein auf ISO 27001 aufgebautes Sicherheitsmanagement sieht als Kernkomponente eine starke betriebswirtschaftliche Verankerung vor. Auch wenn eine Zertifizierung nicht immer notwendig erscheint, so sollte der Standard jedoch zumindest als Vorlage für die eigene Security-Organisation dienen.

Zusätzlich kann eine größere Business-Orientierung der IT im Allgemeinen durch die Ausrichtung auf Service Management Prozesse erreicht werden. ITIL sieht z.B. im Rahmen eines Service Managements auch die Etablierung von Service Continuity-Fähigkeiten sowie ISO-27001-basierter Security Management Prozesse vor.

Eine starre Ausrichtung auf einen Security-ROI erscheint betriebswirtschaftlich sinnvoll, ist in der Praxis aber oft schwierig, da sich die Risiken häufig nur schlecht quantifizieren lassen. Empfehlenswert ist hier eine Fokussierung auf die tatsächlich genau quantifizierbaren Größen der Asset-Werte und deren jeweilige Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit. „Weichere“ Kriterien können dann sekundär einfließen.

(ID:2019509)