Tief verwurzelt (2) : Informationssicherheit ganzheitlich ins Unternehmen integrieren
Informationssicherheit ist in vielen Unternehmen historisch gewachsen und reagiert oft erst nach Fertigstellung der Infrastruktur auf Bedrohungen, anstatt Risiken und Maßnahmen schon in Planungsphasen zu thematisieren. Durch eine ganzheitliche Integration wird Informationssicherheit vorausschauender und effizienter, wodurch ihre Vorteile stärker zur Geltung kommen.
Von Stefan Beißel, Bergisch Gladbach
Im ersten Teil [1] dieses Beitrags wurden bereits eine fehlende Integration der Informationssicherheit im Unternehmen beklagt und verschiedene Bereiche für eine Verankerung oder Verbindung von Sicherheitsvorgaben und -zielen in beziehungsweise mit anderen Bereichen des Business angeregt. Neben den bereits beschriebenen Integrationsebenen und -ansätzen „Governance“ und „Ziele“ folgen hier nun drei weitere.
Integrationsebenen und -ansätze (Fortsetzung)
Prozesse
Die Prozesse eines Unternehmens stehen direkt oder indirekt mit der Wertschöpfung in Verbindung: Prozesse mit direkter Verbindung sind fundamental für einen erfolgreichen Geschäftsbetrieb – es handelt sich zum Beispiel um Beschaffung, Produktion und Vertrieb. Prozesse mit indirekter Verbindung haben eher einen unterstützenden Charakter, zum Beispiel Planung, Steuerung, Kontrolle, Verwaltung, Informationsverarbeitung und Entwicklung. Dazu zählen in der Regel auch Prozesse rund um die Informationssicherheit, indem sie für einen reibungsloseren und stabileren Geschäftsbetrieb sorgen. In bestimmten Branchen können sie auch direkt zur Wertschöpfung beitragen, zum Beispiel wenn Sicherheitsprodukte oder -dienstleistungen angeboten werden.
Um Informationssicherheit auf der Prozessebene stärker zu integrieren, kann man zusätzliche sicherheitsrelevante Prozesse verankern oder bestehende Prozesse so erweitern oder verändern, dass sie die Sicherheit im Unternehmen stärker fördern. Solche Integrationsansätze werden jedoch häufig skeptisch betrachtet, da sie stets mit einem höheren Zeitbedarf und steigenden Kosten verbunden zu sein scheinen. Dies ist aber nicht immer der Fall: Durch eine überlegte Integration lassen sich sogar Vorteile auf der Prozessebene schaffen. In Anlehnung an die grundlegenden Möglichkeiten zur Geschäftsprozessoptimierung [2] können auch sicherheitsrelevante Prozessänderungen zu einer Optimierung führen:
- Das Weglassen von Prozessaktivitäten ist grundsätzlich dann sinnvoll, wenn sich eine Aktivität nicht oder nicht ausreichend positiv auf das Ergebnis auswirkt. Wenn Aktivitäten identifiziert werden können, die ein Sicherheitsrisiko umfassen und für die Funktionserfüllung nicht unbedingt notwendig sind, kann das Weglassen dieser Aktivitäten nicht nur zu einem Sicherheitsgewinn, sondern auch zu einer Optimierung des Prozesses führen. Sollte zum Beispiel ein Medienbruch vorhanden sein, der eine Umwandlung von Daten vorsieht, ist die Integrität aufgrund von potenziellen Fehlern gefährdet. Wenn man sich auf die Beibehaltung eines Mediums, beispielsweise eines bestimmten Dateiformats, festlegen kann, werden sowohl der Prozess optimiert als auch ein Sicherheitsvorteil geschaffen.
- Das Auslagern von Aktivitäten lässt sich erreichen, indem Aktivitäten vom betroffenen Prozess in einen anderen (z. B. vorgeschalteten Prozess) verlagert werden. Dabei können auch Aktivitäten oder ganze Prozesse an externe Organisationen vergeben werden. Das Auslagern ist vor allem dann sinnvoll, wenn man Aktivitäten dadurch effizienter durchführen kann. Spezielle Sicherheitsaktivitäten, die Spezialisten schneller und zuverlässiger ausführen können, eignen sich gut für die Auslagerung – Beispiele sind Schwachstellenscans, Penetrationstests und Quellcodeanalysen, für die spezielles Fachwissen gefragt ist, das Fachleute anderer Bereiche, wie Softwareentwickler oder Netzwerkadministratoren, sich oft erst mühsam aneignen müssen.
- Ein Zusammenfassen findet statt, wenn zwei oder mehr Aktivitäten zu einer neuen Aktivität verbunden werden. Vorteilhaft ist hierbei das Reduzieren von Schnittstellen, an denen Daten zu übertragen sind. Aus der Sicherheitsperspektive ist eine Zusammenfassung wünschenswert, da Schnittstellen oft das Risiko einer Kompromittierung, Manipulation oder Beschädigung von Daten bergen. Andererseits sollte man jedoch darauf achten, dass die Funktionstrennung („Separation of Duties“) darunter nicht leidet. Denn Manipulationen und andere Sicherheitsverstöße lassen sich von Kollegen nicht mehr so schnell erkennen, wenn an einem Prozess weniger Mitarbeiter beteiligt sind.
- Parallelisieren ist angebracht, wenn zuvor sequenziell angeordnete Aktivitäten parallel ausführbar sind oder eine Aktivität durch die Erhöhung der Arbeitsteilung in mehrere, parallele Aktivitäten aufgeteilt werden kann. Oft lassen sich Sicherheitsaktivitäten parallel zu den direkt wertschöpfenden Aktivitäten durchführen. Dadurch werden bestehende Prozesse zumindest nicht verzögert, wenn man zusätzliche Sicherheitsaktivitäten integriert.
- Durch das Verlagern von Aktivitäten wird eine Aktivität zu einem früheren Zeitpunkt im Prozess ausgeführt, was die Durchlaufzeit des Prozesses verkürzen kann. Besonders in der Informationssicherheit sind Verlagerungen wichtig für Optimierungen: Je früher in einem Prozess Sicherheitsaktivitäten ablaufen, desto weniger Designprobleme entstehen und desto weniger zeitintensive Nacharbeiten werden fällig. Unter dem Stichwort „Security by Design“ geht es genau darum, die Sicherheit möglichst früh, also bereits im Entwurf von Produkten, einzubeziehen und dadurch Prozesse zu optimieren.
- Beschleunigen bedeutet, Aktivitäten zeitlich zu verkürzen – zum Beispiel indem man zusätzliche Arbeitsmittel bereitstellt. Die resultierende Vermeidung von Warte- und Liegezeiten wirkt sich nicht nur positiv auf die Dauer des Prozesses aus, sondern kann auch ein Sicherheitsvorteil sein. Bestimmte Sicherheitsprozesse sind nämlich sehr zeitkritisch, etwa die Verteilung von Sicherheits-Patches, die Reaktion auf Vorfälle oder die Aktivierung von Recoverymechanismen. Aber auch Businessprozesse können manchmal durch einen schnelleren Durchlauf sicherer werden; zum Beispiel verringert eine schnellere Patentierung neuer Ideen das Risiko, dass Konkurrenten vertrauliche Informationen abgreifen und gleichartige Produkte vorher schützen.
- Schleifen entstehen, wenn Korrekturen und Nacharbeiten erforderlich sind – Grund dafür können auch Sicherheitsprobleme sein. Eine Vermeidung von Schleifen kann daher die Sicherheit verbessern und Problemquellen beseitigen. Plausibilitätsprüfungen von Eingaben und Integritätsprüfungen übermittelter Daten können beispielsweise dafür sorgen, dass Fehler identifiziert werden, bevor sie in einen Prozess eingehen, was zu einem Sicherheitsgewinn führt.
- Das Ergänzen von Aktivitäten dient der Qualitäts- und Ergebnissicherung und kann die Eigenschaften des Endprodukts verbessern. Die Informationssicherheit ist ebenfalls ein Qualitätsmerkmal – denn Sicherheit ist eine Produkteigenschaft, die heutzutage von den meisten Kunden als selbstverständlich empfunden wird, vor allem bei IT-Produkten. Das Ergänzen von sicherheitsfördernden Aktivitäten mag zwar zunächst einen Mehraufwand bedeuten, lohnt sich aber, da man hierdurch das Produkt aufwertet.
Organisation
Durch die Zuweisung sicherheitsbezogener Funktionen zu Rolleninhabern lässt sich die Informationssicherheit institutionell integrieren. Grundlage für die Strukturierung einer Organisation sind die Arbeitsteilung und Weisungsbefugnisse im Unternehmen. Daraus ergeben sich typische Organisationsformen, wie die Stab-Linien-, Projekt-, Matrix- oder Prozess-Organisation. Je nachdem, welche Organisationsform in einem Unternehmen anzutreffen ist, ergeben sich verschiedene Ansätze zur Integration der Informationssicherheit.
- Bei der Stab-Linien-Organisation – klassisch und immer noch sehr weit verbreitet – werden hierarchisch angeordnete Bereiche, Abteilungen und Teams verwendet, um Stellen zu gruppieren. Ein Stelleninhaber, der mit der Informationssicherheit beauftragt wird, besitzt grundsätzlich einen höheren Einfluss, wenn er sich weiter oben in der Hierarchie befindet. Er kann Aufgaben an untergeordnete Stellen delegieren und diese aufgrund seiner Weisungsbefugnisse leichter zur Erfüllung von Sicherheitszielen bewegen. Eine vollständige Eingliederung der Informationssicherheit in den IT-Bereich ist dabei schwierig: Einerseits können sich zwar Vorteile daraus ergeben, dass der Informations-Sicherheitsbeauftragte näher am IT-Geschehen ist und schneller von Veränderungen erfährt. Andererseits ergeben sich oft Interessenkonflikte bei Vorgesetzten, die eine Balance zwischen Kosteneffizienz und Sicherheit finden müssen. Eine oft vielversprechende Alternative ist die Stabsstelle: Sie kann auf einer hohen Hierarchieebene, zum Beispiel direkt unter der Geschäftsführung, angesiedelt sein; sie besitzt zwar keine direkt untergeordneten Stellen und keine Weisungsbefugnis, kann sich allerdings leicht Gehör im oberen Management verschaffen und somit der Informationssicherheit dennoch großes Gewicht verleihen.
- Die Projekt-Organisation orientiert sich an befristeten Projekten, die im Unternehmen laufen. Diese Organisationsform unterliegt einem ständigen Wandel, denn man setzt die eigenen Strukturen für jedes Projekt neu zusammen. Während der Laufzeit eines Projekts werden die Organisationseinheiten meist ähnlich einer Stab-Linien-Organisation angeordnet: hierarchisch strukturiert mit weisungsbefugten Leitern oder Managern. Optimalerweise sollte sich in jedem Projektteam ein Spezialist für Informationssicherheit befinden. Aufgrund häufiger Ressourcenengpässe ist es in der Praxis jedoch unwahrscheinlich, dass die Informationssicherheit in jedem Projekt so stark vertreten ist. Oft wird die Informationssicherheit von Fachleuten mitgetragen, die generalistischer ausgebildet sind und mehrere Funktionen gleichzeitig übernehmen. Je nach Zusammensetzung der Projektteams können unterschiedlich qualifizierte Mitarbeiter für Informationssicherheit zuständig sein. Außerdem können diese Mitarbeiter, in Abhängigkeit ihrer Machtposition, mal mehr und mal weniger Einfluss im Projekt besitzen. Wie auch bei anderen Projektinhalten ist es aufgrund der häufig wechselnden Strukturen sehr vorteilhaft, eine Wissensbasis aufzubauen. Hier lassen sich Hintergrundinformationen und Erfahrungen zur Informationssicherheit sammeln: So ist das Wissen nicht mehr auf verschiedene, wohlmöglich sogar bereits ausgeschiedene Mitarbeiter verteilt, sondern zentral gespeichert und in jedem neuen Projekt wieder schnell zugreifbar und anwendbar. Bei der Projekt-Organisation sollte man also ein besonderes Augenmerk auf eine mitarbeiterunabhängige Wissensbasis legen. Auf diese Weise können auch weniger spezialisierte Projektmitglieder ausgereifte und sauber dokumentierte Sicherheitsverfahren problemlos umsetzen.
- Die Matrix-Organisation ist eine hybride Organisationsform, da sie die Stab-Linien- mit der Projekt-Organisation kombiniert: Die Strukturierung der Stab-Linien-Organisation existiert dabei dauerhaft und bildet das Grundgerüst des Unternehmens. Sobald es Projektarbeit gibt, bildet man zusätzlich Projektteams, die sich aus der bestehenden Organisation zusammensetzen. Hierbei neu zugeordnete Projektmitarbeiter behalten gleichzeitig ihre Position aus der Stab-Linien-Organisation – sie haben während der Projektlaufzeit eine Doppelrolle. Die hohe Flexibilität dieser Organisation und die gesicherte Position der Mitarbeiter sind positive Effekte der Matrix-Organisation. Allerdings besteht auch ein hohes Konfliktpotenzial, das sich aus der Überlappung von Tages- und Projektgeschäft sowie möglicherweise voneinander abweichenden Weisungen durch Linien- und Projektvorgesetzte ergibt. Informationssicherheit lässt sich hier nachhaltiger umsetzen, wenn ein oder mehrere Stelleninhaber aus der Stab-Linien-Organisation dauerhaft mit dem Thema beauftragt werden – nicht nur zur Projektlaufzeit. Optimalerweise sollten diese Personen auch für eine ständige Projektbeteiligung vorgesehen werden, damit sie individuell auf den Sicherheitsbedarf in Projekten reagieren können. Da das Projektgeschäft langfristig nur schwer vorhersehbar ist, stehen Sicherheitsspezialisten meist jedoch nur knappe Ressourcen zur Abdeckung von Tages- und Projektgeschäft zur Verfügung. Um die resultierenden Konflikte einzudämmen, könnte zum Beispiel jedes Projekt eine feste Ressourcenzuweisung für Informationssicherheit erhalten. Dabei helfen Risikoanalysen, um die verfügbaren Ressourcen aufzuteilen. So kann man die Arbeitszeit der Sicherheitsspezialisten besser einteilen, Überlastungen einfacher erkennen und bewältigen. Bei der Planung neuer projektbezogener Sicherheitsmaßnahmen sollte stets geprüft werden, ob sich der Projektbedarf ganz oder teilweise mit den bereits etablierten Sicherheitsmaßnahmen abdecken lässt. Sollte zum Beispiel ein vierteljährlicher Schwachstellenscan aller Systeme erfolgen, könnte man diesen Scan auch auf Projektsysteme anwenden. Außerdem können bereits etablierte Produkte und Verfahren auch in Projekten zum Einsatz kommen. Etablierte Sicherheitsmaßnahmen lassen sich in der Regel effizienter umsetzen, zum Beispiel kann man ein vorkonfiguriertes Betriebssystem-Image direkt einsetzen, während ein neu installiertes System vor dem produktiven Einsatz erst noch gehärtet werden müsste.
- Die Prozess-Organisation ist, genau wie die Stab-Linien-Organisation, eine dauerhaft bestehende Organisationsform. Sie wird jedoch nicht auf Basis von Funktionen strukturiert, sondern ist auf die Prozesse im Unternehmen ausgerichtet. Jedem wichtigen Prozess sind separate Organisationseinheiten zugeordnet. Wenn mehrere Prozesse die gleichen oder ähnliche Funktionen benötigen, werden sie auch die gleichen oder ähnliche Organisationseinheiten besitzen. Sicherheitsaktivitäten in der Prozess-Organisation koordiniert und effizient auszuführen kann eine Herausforderung sein! Theoretisch kann man die Informationssicherheit in jedem Prozess separat berücksichtigen. Dadurch besteht allerdings die Gefahr, dass die Sicherheitsmaßnahmen im Unternehmen nicht gut untereinander abgestimmt und Ressourcen ineffizient eingesetzt werden. Um dem entgegenzuwirken, empfehlen sich eine enge Abstimmung und ein hoher Informationsaustausch zwischen den Sicherheitsbeauftragten der verschiedenen Prozesse. Unter anderem sind zentrale Vorgaben für physische, technische und organisatorische Sicherheitsmaßnahmen vorteilhaft. In Verbindung mit einer guten Dokumentation fördern Vorgaben eine einheitliche und koordinierte Informationssicherheit im Unternehmen. Optimierungen, die innerhalb einzelner Projekte gefunden werden und in diese Standards einfließen, ermöglichen die unternehmensweite Nutzung von Synergien und erhöhen die Effizienz.
Immer wenn Mitarbeiter bestimmte sicherheitsbezogene Funktionen übernehmen sollen, ist eine eindeutig kommunizierte Zuweisung dieser Funktionen strengstens zu empfehlen. Um Missverständnissen so weit wie möglich vorzubeugen, sollte man gut formulierte Stellen- und Rollenbeschreibungen erstellen und verteilen. Da jede Stellenbeschreibung in der Regel genau einer Person zugeordnet ist, findet eine starke Aufgabenfixierung statt, die eher zu klassischen Stab-Linien-Organisationen passt – demgegenüber sind Rollenbeschreibungen darauf ausgerichtet, einer Person bestimmte Funktionen zuzuordnen.
Häufig besitzt ein einzelner Mitarbeiter sogar mehrere Rollen: Beispielsweise kann ein Mitglied des Sicherheitsteams gleichzeitig Berater, Auditor und Trainer für Informationssicherheit sein. Bei Mitarbeitern, die sich primär mit Informationssicherheit befassen, sollten die Stellen- oder Rollenbeschreibung konkrete sicherheitsrelevante Aufgaben enthalten. Es ist vorteilhaft, auch die Beschreibung von bestimmten regulären Aufgaben, vor allem im IT-Bereich, mit Sicherheitsaktivitäten zu verknüpfen. Dadurch lässt sich die Integration der Informationssicherheit verstärken. Beispiele hierfür sind die Härtung durch Systemadministratoren, die Erstellung einer sicheren Netzwerkarchitektur durch Netzwerkadministratoren und die Schwachstellensuche durch Softwareentwickler.
Finanzen
Die Integration der Informationssicherheit auf finanzieller Ebene ist eine wesentliche Voraussetzung für alle Sicherheitsaktivitäten im Unternehmen: Nur wenn ein ausreichendes Budget zur Verfügung steht, können Sicherheitsmaßnahmen bedarfsgerecht umgesetzt werden. Sollten hingegen keine oder nur wenige finanzielle Mittel für Sicherheit bereitstehen, kann dies nicht nur das Erreichen von Sicherheitszielen beeinträchtigen, sondern auch Businessziele verzögern oder sogar blockieren. Ausgaben für Informationssicherheit sollten ergo nicht lediglich als unabwendbare Kosten, sondern als Investition betrachtet werden, mit der sich ein geschäftlicher Nutzen generieren lässt. Um Sicherheitsinvestitionen beurteilen zu können, sollte man die Kosten dem angestrebten Nutzen gegenüberstellen.
- Die Kosten umfassen nicht zu unterschätzende Ausgaben für die Planung, denn von der Anforderungs- und Bedarfsanalyse bis zur Auswahl spezieller Sicherheitsprodukte sind teilweise sehr zeitintensive Aktivitäten erforderlich. Die Anschaffung von Soft- und Hardware sowie die Implementierung von Sicherheitsmaßnahmen können ebenfalls stark zu Buche schlagen. Weiterhin fällt Aufwand für Betrieb und Wartung der Maßnahmen an, damit sie im Laufe der Zeit nicht ihre Wirkung verlieren. Außerdem sind noch die sogenannten Opportunitätskosten zu berücksichtigen, also die rechnerisch entgangenen Gewinne, die man mit dem in die Informationssicherheit investierten Kapital hätten erwirtschaften können. Der Nutzen, der die Informationssicherheit zu einer lohnenden Investition macht, ist hingegen oft abstrakt und nur schwer zu kalkulieren. Anders als bei Investitionen, die zur Umsatzgenerierung und damit direkt zur Gewinnerzielung beitragen, haben Sicherheitsmaßnahmen eher indirekten Einfluss auf den Gewinn.
- Der Nutzen besteht darin, Sicherheitsvorfälle zu verringern oder zu vermeiden und somit die mit ihnen verbundenen Schäden zu reduzieren. Bleiben die Kosten einer Sicherheitsmaßnahme geringer als der aufgrund von Sicherheitsvorfällen erwartete Verlust, lohnt sich die Investition bereits. Dieser Verlust umfasst dabei nicht nur direkte Schäden, die durch Kompromittierung, Manipulation oder Beschädigung von Daten und IT-Systemen entstehen. Auch die Bewältigung eines Sicherheitsvorfalls selbst erfordert eine Reihe teilweise sehr kostenintensiver Tätigkeiten: Unter anderem können die Eindämmung der Sicherheitsprobleme, forensische Untersuchungen und die Wiederherstellung des Geschäftsbetriebs erheblichen Aufwand bedeuten. Eine Investition in passende Sicherheitsmaßnahmen kann das verhindern.
- Ein wichtiges Mittel der finanziellen Integration sind Budgets, um die Mittel für Informationssicherheit zu autorisieren. Sie können wiederholt oder einmalig vergeben werden: Die einmalige Zuordnung erfolgt in der Regel für befristete, einmalige Projekte – zum Beispiel für die Einführung oder Migration umfangreicher Sicherheitslösungen. Die wiederholte Zuordnung bezieht sich auf die laufenden, regelmäßigen Aktivitäten zur Aufrechterhaltung des Sicherheitsniveaus, zum Beispiel vierteljährliche Sicherheitstests und jährliche Awarenessmaßnahmen.
Mit einem Budget lassen sich zukünftige Ausgaben besser planen und überwachen. Ein zu niedriges oder zu hohes Budget kann allerdings zu starken Nachteilen führen: Mit einem zu niedrigen Budget sind oft Qualitäts- und Zeitprobleme verbunden. Wenn zum Beispiel der preisgünstigste Anbieter eines Firewallsystems in einem anderen Land operiert, können der Versand der Hardware und die Reaktion bei Qualitätsproblemen erheblich länger dauern. Generell schränkt ein niedriges Budget den Entscheidungsfreiraum ein – das Unternehmen muss sich mit „hinreichend billigen“ Möglichkeiten zufriedengeben. Ein zu hohes Budget vermeidet zwar Einschränkungen, kann jedoch Ineffizienz mit sich bringen: Die Verfügbarkeit ausgiebiger Geldmittel kann zur Fahrlässigkeit bei der Auswahl und bei Verhandlungen führen. Auch Ineffizienz in der Umsetzung, die zu mehr Zeitaufwand und höheren Personalkosten führt, wird womöglich eher hingenommen. Manche Budgetverantwortliche versuchen zudem, ein zugeteiltes Budget mit allen Mitteln auszunutzen, um für Folgeperioden keine Kürzungen fürchten zu müssen.
Da Budgets anhand von prognostizierten Ausgaben festgelegt werden, ist immer eine gewisse planerische Ungenauigkeit vorhanden. Sie lässt sich jedoch reduzieren, indem man die Qualität der Prognosen erhöht oder den Zeithorizont für das Budget reduziert.
Wenn Sicherheitsinvestitionen stärker gesteuert und über ihren gesamten Lebenszyklus überwacht werden sollen, eigenen sich Rahmenwerke für das Investitionsmanagement, zum Beispiel das Val-IT-Framework [3]: Es unterstützt bei Entscheidungen, Überwachungen und Verbesserungen rund um Investitionen. Einzelne Investitionen werden dabei als Bestandteile eines Portfolios betrachtet, das zum Beispiel alle Sicherheitsinvestitionen oder IT-Investitionen umfassen kann. Ziel der Steuerung ist es, die Wertschöpfung des Unternehmens zu erhöhen.
Die Steuerungsaktivitäten gehören zu den drei Domänen Value-Governance, Portfolio- und Investment-Management:
- Bei der Value-Governance wird (z. B. mithilfe von Vorgaben und der Überwachung von Prozessen) aus übergeordneter Sicht sichergestellt, dass Investitionen über ihren gesamten Lebenszyklus mit dem Ziel der optimalen Wertschöpfung gesteuert werden.
- Das Portfolio-Management dient der Gesamtbetrachtung aller Investitionen in einem Portfolio und hat das Ziel, eine insgesamt hohe Wertschöpfung zu erreichen – zum Beispiel durch eine Reduzierung der Gesamtkosten.
- Beim Investment-Management liegt der Schwerpunkt auf einzelnen Investitionen: Diese werden kontinuierlich überwacht und in Bezug auf ihren Wertschöpfungsbeitrag analysiert.
Fazit
Die Bedeutung der Informationssicherheit an sich bestreitet kaum noch jemand. In Zeiten steigender Bedrohungen und strenger Regularien sollte man die Vorteile, die sich durch eine integrierte Informationssicherheit generieren lassen, möglichst umfassend nutzen. Sie kann die strategische Ausrichtung eines Unternehmens unterstützen, mithilfe von Risikomanagement die Passgenauigkeit von Sicherheitsmaßnahmen erhöhen, den Einsatz von knappen Ressourcen optimieren, die Leistungsmessung präzisieren und einen Beitrag zur Wertschöpfung liefern.
Um eine ganzheitliche Integration zu erreichen, sind verschiedene Integrationsebenen zu berücksichtigen: Informationssicherheit sollte in die Entscheidungsbereiche der IT-Governance einfließen, sodass bei der Steuerung und Regelung des Geschäftsbetriebs auch passende Sicherheitsvorgaben gestellt werden. Die Ziele im Unternehmen sollten soweit wie möglich mit Sicherheitszielen verknüpft und auf Wechselwirkungen zwischen Business und Sicherheit hin untersucht werden. Auf der Prozessebene sollte man nicht nur zusätzliche Sicherheitsprozesse implementieren, sondern auch bestehende Prozesse entsprechend erweitern oder verändern, was sogar zu Prozessoptimierungen führen kann.
Wie man die Informationssicherheit organisatorisch integriert, hängt stark von der vorherrschenden Organisationsform ab. Und im Rahmen der finanziellen Integration können transparente Kosten-Nutzen-Betrachtungen zu einer passenderen Budgetkalkulation und einem besseren Investitionsmanagement verhelfen.
Durch eine Integration auf allen Ebenen lassen sich die Vorteile der Informationssicherheit am stärksten zur Geltung bringen. Ein Unternehmen kann dadurch ein stärkeres Alignment zwischen Sicherheit und Business erreichen und den Wandel von einer historisch gewachsenen, reaktiven Sicherheit zu einer zielgerichteten, vorausschauenden Sicherheit mit effizientem Ressourceneinsatz vollziehen.
Dr. Stefan Beißel (CISM, CISA, CISSP, PMP) ist freier Autor und besitzt langjährige Berufserfahrung in IT-Sicherheit und IT-Audit bei international tätigen Unternehmen (Stefan.Beissel@ages.de) – er hat zudem in Master- und Bachelorstudiengängen verschiedene Fächer der Wirtschaftsinformatik gelehrt.
Literatur
[1] Stefan Beißel, Tief verwurzelt (1), Informationssicherheit ganzheitlich ins Unternehmen integrieren, <kes> 2019#2, S. 62
[2] Knut Bleicher, Organisation: Strategien – Strukturen – Kulturen, Springer Gabler, Wiesbaden 1991, ISBN 978-3-322-82919-1
[3] IT Governance Institute (ISACA), The Val IT Framework 2.0, 2008, www.isaca.org/Knowledge-Center/Val-IT-IT-Value-Delivery-/Pages/Val-IT-Publications.aspx#framework