F

Warum ein Gremium für IT Security Governance wichtig ist

Ein Gremium für IT Security Governance ist sehr wichtig. Es hilft Firmen, die Mitarbeiter und finanzielle Ressourcen optimal einzusetzen.

Wenn wir für Security Geld ausgeben, wollen wir den größtmöglichen Mehrwert erhalten. Deswegen plant meine Firma, ein Gremium für die IT Security Governance ins Leben zu rufen. Dort sollen unter anderem die Risiken diskutiert werden, die am dringlichsten für das Geschäft adressiert werden müssen. Außerdem wollen wir erörtern, wie man das Budget für IT-Sicherheit am besten einsetzt. Wissen Sie wer im Gremium für IT Security Governance sitzen soll und wie man dort Risiken definiert?

Alle IT-Sicherheits-Profis werden vom selben Fluch heimgesucht: Es gibt niemals genug Ressourcen, um jedes denkbares Security-Risiko adressieren zu können. Es ist die Aufgabe des CISOs (Chief Information Security Officer), die wichtigen Entscheidungen zu treffen. Er sollte festlegen, wo man die eingeschränkten Ressourcen einsetzt, um die Risiken bestmöglich zu minimieren. 

Die Balance zwischen Risiken für das Unternehmen und den verfügbaren Ressourcen driftet immer weiter auseinander.

Das ist die Theorie. In der Praxis gestaltet sich die Sachlage möglicherweise schwieriger. Die Balance zwischen Risiken für das Unternehmen und den verfügbaren Ressourcen driftet immer weiter auseinander. Deswegen ist ein Gremium für die IT Security Governance sehr wichtig. Diese Einrichtung hilft, Risiken zu priorisieren. Weiterhin kann man dort Argumente dafür finden und ausarbeiten, dass man mehr Ressourcen braucht, um die Firma ausreichend schützen zu können.

Die Struktur eines Security-Governance-Gremiums kann je nach Unternehmen und deren Anforderungen stark variieren. Allerdings ist es üblich, dass nachfolgende Abteilungen einen Repräsentanten stellen: Rechtsabteilung, Personalabteilung (Human Resources / HR), Compliance (Richtlinien-Beauftragter), interne Audits, sowie IT und Security. 

Somit schaffen Sie eine ausgewogene Umgebung, in der sich jede Abteilung an der Ausarbeitung der Security-Policy beteiligt. Der CISO kann dieses Gremium als Plattform einsetzen, um Risiken zu diskutieren und entsprechende Unterstützung zu sammeln. Im Anschluss leitet er dann schwierigere Entscheidungen im Hinblick auf die IT-Sicherheit weiter. Durch das Gremium behält der CISO politisches Gewicht und erhöht sogar seinen Einflussbereich. Das ist im Hinblick auf die Security-Richtlinien sehr wichtig.

Sobald das Gremium auf die Beine gestellt ist, muss der CISO die Security-Risiken für die IT präsentieren. Der beste Ansatz dafür ist, die Betriebsmittel des Unternehmens zu klassifizieren und diesen dann Werte zuzuordnen. Somit lässt sich einfach sehen, was mehr oder weniger Schutz verdient. Persönlich bevorzuge ich die OCTAVE-Methode. Es gibt aber auch andere Modelle. Setzt der CISO ein solches Modell ein, kann er die Informationen zu den Risiken nicht-technisch erklären, damit auch jeder Repräsentant des Gremiums damit etwas anfangen kann.

Es ist einfacher, die Mitarbeiter im gesamten Unternehmen für die IT-Sicherheit zu sensibilisieren.

Nehmen wir an, dass Sie Kundeninformationen innerhalb eines CRM-Systems oder Finanz-Informationen in einer ERP-Lösung haben. Der CISO kann nun die Risiken für diese Systeme aufzeigen und erklären, welche Ressourcen notwendig sind, um diese zu mildern. Vielleicht ist das Gremium bei der Ressourcen-Verteilung anderer Meinung und bringt eigene Vorschläge ein, wie man die begrenzten Mittel am sinnvollsten nutzt.

Die Wichtigkeit eines Security-Governance-Gremiums darf man nicht auf die leichte Schulter nehmen. Gleich zu Amtsantritt sollte der CISO dieses Komitee auf die Beine stellen. Es wird niemals genug Geld und Ressourcen geben, um alle denkbaren Risiken für ein Unternehmen abzuschwächen. Sitzen im Gremium für IT Security Governance auch Repräsentanten aus nicht-technischen Abteilungen, hilft das bei schwierigen Entscheidungen zur IT-Security und beim Ausarbeiten von Richtlinien. Weiterhin ist es einfacher, die Mitarbeiter im gesamten Unternehmen für die IT-Sicherheit zu sensibilisieren. Der positive Effekt ist außerdem, dass der CISO wesentlicher effizienter ist.

Über den Autor:
Joseph Granneman ist ein Experte für Information Security Management bei SearchSecurity.com. Er hat im Technologiebereich mehr als 20 Jahre Erfahrung.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Oktober 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close