Newsletter

Hier können Sie sich für unseren News-letter und unsere eJournals anmelden.

 

anmelden

 
Home arrow Artikel arrow Analyse: Die Steuerung der Informationssicherheit als organisatorische Aufgabe - Best Practices

it security

it security widmet sich allen Aspekten der IT-Sicher-heit in strategischer und technischer Hinsicht. Das Magazin stellt praktische und kostengünstige Lösun-gen in den Bereichen Auditing, Penetrationstests, Hacking-Szenarien, Security Management-Konsolen, Firewalls, IDS/IPS, Antiviren-Programme und vielen anderen mehr vor. Zur Zielgruppe gehören unter anderem die Leiter der Bereiche Datensicherheit und Internet in Großunternehmen und dem Mittelstand.

 

Inhaltsangabe

Analyse: Die Steuerung der Informationssicherheit als organisatorische Aufgabe - Best Practices PDF  | Drucken |  E-Mail
16. June 2008

Verantwortliche für Informationssicherheit agieren typischerweise im Spannungsfeld zwischen Geschäftszielen und technologischen Fragestellungen. Auf der einen Seite sollen Geschäftsführung oder Vorstand für Informationssicherheit sensibilisiert werden und die Security-Verantwortlichen unterstützen. Die IT-Fachbereiche wiederum sind eher technisch orientiert und in ein Security-Framework einzubeziehen. Informationssicherheit-Managementsysteme (ISMS) bilden die strategische Klammer. Ein wichtiger Erfolgsfaktor ist die richtige Verteilung von Rollen und Verantwortlichkeiten für Informationssicherheit im Unternehmen.

Unternehmen mit einer sehr hohen Reife mit Blick auf Informationssicherheit haben einen Chief Information Security Officer (CISO), der auf Vorstandsebene angesiedelt ist oder an den Vorstand berichtet. Eine Alternative ist die Positionierung des CISOs im Bereich des Unternehmens-Risk-Managements. Das andere Extrem liegt vor, wenn es überhaupt keine Person gibt, die für Informationssicherheit zuständig ist. In der Realität liegen viele Unternehmen irgendwo zwischen diesen beiden Extremen. Besonders bei kleinen und mittelständischen Unternehmen nimmt ein Mitarbeiter im IT-Bereich, etwa der Systemadministrator, diese Rolle wahr. Bei anderen wiederum ist es der CIO, der Personal- oder der Finanzleiter. Die Positionierung der Informationssicherheit im IT-Bereich ist allerdings problematisch, führt sie doch zu einer rein technologischen Sicht, die zudem Sachzwängen wie Kosten und Performanz der IT-Systeme untergeordnet ist.

Best Practice für den CISO

Als Best Practice ist eine Konstellation anzusehen, wo ein CISO das Rahmenwerk für Informationssicherheit vorgibt und durch das Management, die Fachbereiche und die IT-Abteilung unterstützt wird. Der CISO ist zuständig für die Definition einer Security-Strategie und die „Steuerung“ der Informationssicherheit insgesamt. Dazu gehört auch, ein kontinuierliches Programm für Informationssicherheit aufzusetzen, einschließlich eines Risikomanagement-Prozesses. Auch Incident Management und Response müssen durch den CISO gelenkt werden.

Das gehobene Management und der Vorstand haben eine wichtige Rolle: sie sollen für alle Mitarbeiter sichtbar mit gutem Beispiel vorangehen und die Arbeit des CISOs auf strategischer Ebene unterstützen. Insbesondere trägt der Vorstand die rechtliche und ethische Verantwortung für Informationssicherheit insgesamt im Unternehmen. Letztlich ist es auch der Vorstand, der die Entscheidung über die Höhe der „akzeptablen Restrisiken“ trifft, die man nach Risikoanalysen und der Ergreifung von Schutzmaßnahmen in Kauf zu nehmen bereit ist. Ein weiteres Stichwort ist die Schaffung von Awareness.

Erfolgsfaktor Security Steering Commitee

Ein Erfolgsfaktor für den CISO ist außerdem die Etablierung eines so genannten Security Steering Committee. Dies ist ein Forum für leitende Fachkräfte aus verschiedenen Bereichen des Unternehmens, die alle durch die Art des Umgangs mit Informationssicherheit betroffen sind. Auch ein Mitglied des Vorstands sollte dort vertreten sein. Der CISO kann über das Steering Committee kontinuierlich die Anforderungen an Sicherheit auf Geschäftsseite aufnehmen, sein Programm daran ausrichten, das Bewusstsein für Informationssicherheit weiter vorantreiben und Unterstützung für seine Vorhaben gewinnen.

Aber auch CISOs, die sich in einem auf diese Weise grundsätzlich positiven Umfeld bewegen, stehen vor zahlreichen Herausforderungen. Zum einen verfügen sie selbst in der Regel über geringe Mittel und Ressourcen für die technische Umsetzung von Sicherheitsmaßnahmen. So sind sie auf die konstruktive Unterstützung der IT-Abteilung angewiesen. Die Realisierung von Sicherheitsmerkmalen auf IT-Ebene steht aber nicht selten im Zielkonflikt mit dem Streben nach Kostensenkung und Erhöhung der Performanz und Nutzerfreundlichkeit bei den IT-Ressourcen. Gleichzeitig sind große Unternehmen oft global dezentral aufgestellt. Der CISO muss lokalen Anforderungen an Informationssicherheit sowie fragmentierten IT-Landschaften Rechnung tragen. Dies kann dazu führen, dass auch die Informationssicherheit dezentralisiert werden muss. Der CISO gibt dann den globalen Rahmen vor, während Einheiten vor Ort die nötige Lokalisierung vornehmen.

Wolfram Funk, Senior Advisor der Experton Group AG

 
< zurück   weiter >
[ Zurück ]