Suchen

Interview zu Security-Management und IT-Governance Security Governance erfordert klare Unterstützung der Geschäftsführung

| Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Als zwingendes Element sollte die IT Security Governance in Managementkonzepte zur Absicherung kritischer IT-Infrastrukturen einfließen. Doch wie wird die Security Governance richtig umgesetzt und welche Probleme können entstehen? Solche Fragen beantwortet Tobias Regenfuss, Sicherheitsverantwortlicher bei der Unternehmensberatung Accenture, im Interview mit Security-Insider.de.

Firmen zum Thema

Tobias Regenfuss, Security-Verantwortlicher bei der Unternehmensberatung Accenture.
Tobias Regenfuss, Security-Verantwortlicher bei der Unternehmensberatung Accenture.
( Archiv: Vogel Business Media )

Security-Insider: Wie realistisch ist die Roadmap zur Security Governance überhaupt, welche Hürden stellen sich noch?

Tobias Regenfuss: Bei der Einführung von Governance-Strukturen ergeben sich neben der notwendigen Akzeptanz und der Klärung der Verantwortung noch security-spezifische Aufgabenstellungen. Die Integration der Security Governance in die bestehenden Regelsysteme muss sauber abgestimmt und miteinander verzahnt werden, um nicht mit bestehenden Governances in Konflikt zu geraten.

Es ist besonders darauf zu achten, dass die entwickelte Sicherheitsstrategie in Abgleich mit der Unternehmensstrategie entwickelt wird und nicht im leeren Raum daneben steht. Es ist daher eine absolute Notwendigkeit die obere Managementebene in eine Security Governance-Struktur zu integrieren.

Welchen realistischen Pfad kann man im Unternehmen gehen?

Grundlage sollte eine tiefgehende Analyse der vorhandenen Regelungssysteme und Anforderungen sein, gefolgt von einer entsprechenden Gap-Analyse zwischen Ist- und Soll. Nach der Entscheidung über die notwendigen Regelungen, Entscheidungswege und Verantwortlichkeiten („Was?“) ist zu entscheiden, durch welche Governance („Wo?“) diese definiert werden sollen. Die Umsetzung und Definition der Governance („Wie?“) ist durch vorhandene Standards wie beispielsweise 7001-a-626958/' class='inf-text__link inf-text__keyword'>ISO 27001 schon recht ausführlich skizziert. Die konkrete Governance-Struktur für ein spezifisches Unternehmen muss aber immer auf die konkrete Unternehmenssituation und dessen Managementstrukturen angepasst sein.

Wie dockt man die vielen „Governances“ – SOA Governance, IT Governance, und Security Governance – sinnvoll aneinander an, so dass ein stimmiges Gesamtkonzept und kein neuer Papiertiger entsteht?

Das Bestehen der einzelnen „Governances“ ist grundsätzlich notwendig um die abgegrenzten Themengebiete auch anforderungsgerecht regeln zu können. Bei der Abgrenzung von Governances untereinander sollte eben diese thematische Grundlage der jeweiligen Geltungsbereiche berücksichtigt werden. In einem zweiten Schritt müssen klare Schnittstellen zwischen den sauber getrennten Aufgabengebieten definiert werden; durch entsprechende Delegations- und Eskalationsregeln entsteht dann ein effizient funktionierendes Gesamtkonzept.

Beim Hinzukommen einer neuen Governance, wie der Security Governance, muss eine Überdeckungsprüfung mit aktuell bestehenden Strukturen unbedingt durchgeführt werden, um funktionale Überschneidungen zu erkennen, zu bereinigen und in einer neuen Governance einheitlich und übergreifend zu regeln. Die Security Governance hat im Kontext der unternehmensweiten Risikominimierung also die Aufgabe, die Verbindung zwischen Corporate Governance und dem IT Security Management zu bilden.

Gibt es gute Praxisbeispiele und Tipps bzw. Empfehlungen – technisch, organisatorisch und betriebswirtschaftlich – zur Umsetzung?

Die Security Governance muss eine klare Unterstützung auf Geschäftsführungsebene besitzen, um die notwendige Wirkung im Unternehmen entfalten zu können. Eine Delegation in die dritte Ebene der Organisation ist nicht sinnvoll. Als Kommunikations-Werkzeug ist eine Security-Scorecard sinnvoll, welche auf Managementebene die Fortschritte und Auswirkungen der Security Governance verdeutlicht und dem Vorstand die notwendigen Argumente liefert, hinter dem Vorhaben zu stehen.

Auch langfristig hängt die unternehmensweite Akzeptanz der Security Governance von den nachweisbaren positiven Resultaten ab – das muss auch betriebswirtschaftlich messbar sein. Die Visualisierung der Auswirkungen der Governance Initiativen und die zeitliche Darstellung der Entwicklung ausgewählter Maßnahmen werden durch eine Scorecard sinnvoll unterstützt.

Die inhaltliche Anpassung von Standardrichtlinien an die Unternehmenskultur ist ein weiterer wesentlicher Punkt für eine erfolgreiche Einführung einer Security Governance. Eine bloße Übernahme von generischen Standard-Policies aus dem Lehrbuch ist wenig sinnvoll, wenn diese nicht an die spezifische Unternehmenssituation und die unternehmerischen Ziele angepasst sind. Auf formaler Ebene ist insbesondere auf darauf zu achten, dass die Policies klar, präzise, relevant und durchsetzbar sind.

Helfen Standards und Methoden weiter – und wenn ja, welche setzt man wie gewinnbringend ein?

Es existiert derzeit kein spezifischer Standard zum Thema Security Governance. Als gutes Fundament kann jedoch ISO 27001 dienen, da es über die Anforderungen an ein funktionierendes Security-Management auch den Rahmen für Security-Governance vorgibt. Zusätzlich ist es sinnvoll eine Verbindung zum allgemeinen IT Governance Standard ISO 38500 zu schaffen, da die beschriebenen Methoden zum Teil auch auf Security Governance anwendbar sind.

Tobias Regenfuss ist Security-Verantwortlicher bei der Unternehmensberatung Accenture. Das Interview führte Lothar Lochmaier.

(ID:2019640)