Suchen

IT-Sicherheit besser steuern – Teil 2 IT-Management: Verantwortungsbereiche klar abgrenzen und strukturieren

Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Zu einem ganzheitlichen IT-Regelwerk gehört die IT Security Governance. Doch um diese richtig umzusetzen, müssen entsprechende Verantwortungsbereiche klar festgelegt werden. In diesem Beitrag beleuchten wir die Einbindung des Managements, die strategische und planende Funktion des CISO sowie erforderliche Aufgaben bei der Umsetzung einer IT Security Governance.

Firma zum Thema

Im Rahmen einer IT Security Governance müssen Verantwortlichkeiten und Entscheidungskriterien klar definiert werden. „Dies ist zwingend notwendig um das Security Management klar in der Organisation zu verankern und zu gewährleisten, dass Sicherheit nicht abgekoppelt vom restlichen Unternehmen gemanaged wird“, betont Tobias Regenfuß, Security-Verantwortlicher bei der Unternehmensberatung Accenture.

„Eine Einbindung der Security Governance in die allgemeine IT Governance und die unternehmensweite Corporate Governance ist essentiell, da die Endverantwortung für die Informationssicherheit nicht beim CISO liegt, sondern bei der Geschäftsleitung“, unterstreicht der Experte. Ohne eine klar definierte und kommunizierte IT-Security-Governance fehlen also die systematischen Grundlagen, um die Unternehmenssicherheit vollständig in den Griff zu bekommen.

Das formulierte Regelwerk dient darüber hinaus auch als Grundlage für Berechnungen und zur Darstellung von Fall-Szenarien. Wie die gesamte IT-Governance aber letztlich aussieht, bleibt der Individualität des Unternehmens, dessen Management inklusive Rahmenbedingungen sowie den notwendigen Schutzmaßnahmen vorbehalten.

Seite 2: IT-Governance und Security marschieren gemeinsam

IT-Governance und Security marschieren gemeinsam

Als Bestandteil eines ganzheitlichen IT-Regelwerkes ist die IT Security Governance ein wichtiges Instrument, um das Unternehmen im Wettbewerb entsprechend gut zu positionieren. Somit lehnt sich die Definition der Security Governance dementsprechend eng an die IT Governance an.

Wichtig ist zunächst vor allem die Unternehmensgröße. Grundsätzlich allerdings schießt ein Unternehmen – egal welcher Größe – sicherlich niemals über das Ziel hinaus. „Die entwickelten Sicherheitsleitlinien des CISOs haben somit einen nicht unerheblichen Anteil an einer IT-Governance“, umreißt Mirco Rohr, Technology Evangelist bei Kaspersky Lab Europe.

Weiterhin führe eine solche – unternehmensweit anerkannte – Richtlinie zu einem besseren Verständnis auch innerhalb der Geschäftsführung für das Thema Sicherheit generell. Von einer bestehenden Corporate Governance, die die Steuerung aller Organisations- und Strukturfragen umfasst, kann man einfach und strukturiert die IT-Governance ableiten.

IT-Governance muss die Verantwortung des Managements – insbesondere auch der Unternehmensleitung – für die Führung und den Aufbau einer Organisationsstruktur und von Prozessen definieren. „Dabei sollte sichergestellt sein, dass die IT die Unternehmensziele und Strategien unterstützend umsetzt und erweitert. Darunter fällt auch die Zielausrichtung, Messung und Überwachung der Prozesse“, betont Mirco Rohr.

Jedoch schaffen nur wirksame Kontrollen und deren formulierte Kontrollziele eine unternehmensweite Transparenz, darüber sind sich die Experten einig. In diesem Fall könnte dem CISO auch ein Best Practise Tool weiterhelfen, wie das im vorangegangenen IT-Management-Beitrag skizzierte Cobit.

Das Werkzeug hat drei Zielgruppen, die dieses Framework unterstützen soll. Dem Management wird geholfen, Risiken abzuwägen und Kontrolle über Investitionen zu behalten. Des Weiteren sollen sich auch die Anwender sicher fühlen und eine gewisse Kontrolle über IT-Dienste haben. „Auch die Revisoren können sich ein Bild machen“, ergänzt Mirco Rohr.

Seite 3: CISO nimmt strategische Geschäftsaufgaben wahr

CISO nimmt strategische Geschäftsaufgaben wahr

Basis einer betriebswirtschaftlichen Erfassung ist die Klassifizierung sämtlicher Assets in den Dimensionen Vertraulichkeit, Integrität und Verfügbarkeit. Für eine möglichst genaue Bewertung von Verlusten in diesen Dimensionen anstatt nur abstrakter Einstufungen ist die Mitarbeit der Business Asset Owner unabdingbar. Nur sie können die Auswirkungen eines Verlusts von Vertraulichkeit, Integrität oder Verfügbarkeit für ihr jeweiliges Asset einschätzen.

Viele Security-Organisationen sind derzeit noch wenig geeignet, um eine unternehmensweite Anerkennung von „Informationen“ als Asset mit speziellem Schutzbedarf durchzusetzen. Sie sind häufig zu technisch aufgestellt und sehen sich selbst verantwortlich für den Schutz der Informationen. Die eigentlichen Asset Owner werden dabei häufig als unkooperativ und uneinsichtig wahrgenommen.

Dies liegt zum Teil auch daran, dass der CISO momentan eher nur die Regeln formuliert, aber bei der Umsetzung keinerlei Unterstützung bietet.

Das Bild des „Regulierenden Bremsers“ muss unternehmensintern aktiv zum „Bewahrer von Werten“ und „Business Enabler“ entwickelt werden. Der CISO kann und muss sich an den betriebswirtschaftlichen Zielen und Anforderungen seiner Organisation orientieren. Es sind dabei für ihn grundsätzlich alle Assets der Organisation „im Scope“. Techniken des Asset Managements können den CISO bei der Sichtung und Beurteilung der Assets unterstützen. Unabdingbar bleibt die Einordnung des Asset-Werts durch den jeweiligen Business Owner.

Eine solche Bewertung kann nicht allein durch den CISO im „luftleeren Raum“ erfolgen. Deshalb gilt es dessen Rollenprofil betriebswirtschaftlich möglichst konkret zu erfassen und zu strukturieren. Dessen Rolle hat betriebswirtschaftliche Aspekte, geht aber auch signifikant darüber hinaus. Eine aus Asset-Werten und quantifizierten Risiken abgeleitete Priorisierung muss die Basis für Entscheidungen des gesamten Sicherheitsmanagements sein – dieser Prozess sollte stark betriebswirtschaftlich ausgerichtet sein.

Der CISO darf aber in diesem Prozess nicht alleiniger Akteur sein, sondern muss über geeignete organisatorische Maßnahmen eine generelle Security Awareness im gesamten Unternehmen schaffen und Sicherheitsanforderungen in allen relevanten Geschäftsprozessen verankern. Die Business Owner sind letztendlich gesamtverantwortlich für die Informationssicherheit; der CISO muss die für das Business relevanten Teile des Sicherheitsmanagements verständlich machen und ihnen ermöglichen, ihre Rollen im Prozess sinnvoll auszuführen.

Seite 4: Risiko-Beurteilung bedarf genau quantifizierbarer Werte

Risiko-Beurteilung bedarf genau quantifizierbarer Werte

Ohne Bewertungsgrundlage aus dem Business ist ein Security Asset Management nicht sinnvoll umsetzbar. IT-Risikomanagement kann dabei nur als Teil eines ganzheitlichen unternehmensweiten Risikomanagements sinnvoll funktionieren und einen Mehrwert für das Unternehmen liefern. Darüber hinaus ist eine Verankerung der Notwendigkeit von Sicherheitsmaßnahmen über Einbindung der verantwortlichen Mitarbeiter der Unternehmensbereiche im Sicherheitsmanagement essentiell.

Nur so können Entscheidungen insbesondere zu umzusetzenden Sicherheitsmaßnahmen betriebswirtschaftlich legitimiert und deren Akzeptanz sichergestellt sein. Einen weiteren wichtigen Baustein stellt das Security-Reporting dar, idealerweise aggregiert in eine unternehmensweite Balanced Scorecard.

In dieses Security Reporting und die verwendeten Metriken sollten im Wesentlichen auch betriebswirtschaftliche Bewertungen der betrachteten Assets und der verbundener Risiken einfließen. Letztendlich muss der CISO ein unternehmensweites Sicherheitsbewusstsein schaffen anstatt nur theoretische Policies und Richtlinien aus dem Elfenbeinturm zu produzieren.

Standards können bei der Erfüllung dieser Aufgabe helfen. Ein auf ISO 27001 aufgebautes Sicherheitsmanagement sieht als Kernkomponente eine starke betriebswirtschaftliche Verankerung vor. Auch wenn eine Zertifizierung nicht immer notwendig erscheint, so sollte der Standard jedoch zumindest als Vorlage für die eigene Security-Organisation dienen.

Zusätzlich kann eine größere Business-Orientierung der IT im Allgemeinen durch die Ausrichtung auf Service Management Prozesse erreicht werden. ITIL sieht z.B. im Rahmen eines Service Managements auch die Etablierung von Service Continuity-Fähigkeiten sowie ISO-27001-basierter Security Management Prozesse vor.

Eine starre Ausrichtung auf einen Security-ROI erscheint betriebswirtschaftlich sinnvoll, ist in der Praxis aber oft schwierig, da sich die Risiken häufig nur schlecht quantifizieren lassen. Empfehlenswert ist hier eine Fokussierung auf die tatsächlich genau quantifizierbaren Größen der Asset-Werte und deren jeweilige Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit. „Weichere“ Kriterien können dann sekundär einfließen.

(ID:2019509)