 |
|
23.09.2009, von Katharina Friedmann
IT-Sicherheitsverantwortliche haben es ohnehin nicht leicht, ihr Budget zu rechtfertigen. Um diese Aufgabe nicht noch zu erschweren, gilt es laut Gartner einige fatale Fehler beim Risiko-Management zu vermeiden.
In Zeiten wirtschaftlicher Unsicherheit werden IT-Ausgaben besonders genau überprüft. "Das Security-Budget und der Bereich Risiko-Management sind davon nicht ausgenommen - wenn auch nicht ganz so stark betroffen wie etwa das IT-Gesamtbudget", warnt Jay Heiser, Research Vice President bei Gartner. Um Sicherheitsausgaben durchzusetzen zu können, müssten Security-Verantwortliche sicherstellen, dass sich Schutzmaßnahmen und zur Risikokontrolle angewandte Praktiken explizit an Geschäftszielen ausrichten - und das Business davon überzeugen, Risiken zu übernehmen.
Kaum Chancen, das zu bewerkstelligen, haben aus Sicht des Analysten Sicherheitsverantwortliche, die beim Risiko-Management in eine der folgenden Fallen tappen:
1. Sicherheitsniveau und -Ausgaben pauschal ansetzen. Das gleiche Schutzniveau beziehungsweise die gleichen Sicherheitsausgaben können nicht für jede Geschäftseinheit sinnvoll und wirtschaftlich sein - noch weniger ist dies für jede einzelne Komponente innerhalb einer Abteilung der Fall. Vielmehr sollte sich die Höhe der Security-Ausgaben an dem jeweils ermittelten und bewerteten Risiko orientieren, um sowohl unnötigen Investitionen als auch überzogenen Sicherheitsmaßnahmen vorzubauen. Der Geschäftführung sollte dazu eine überschaubare Zahl an Risiko-Management-Profilen für verschiedene Anwendungsszenarien an die Hand gegeben werden.
2. Planung an den Vorstellungen der Security-Organisation ausrichten. Sicherheitsverantwortliche haben aus der Historie heraus meist technikorientierte Investitionen angestoßen, sprich: Implementierungsentscheidungen basieren eher auf den Wünschen der IT als auf den Bedürfnissen des Business. Laut Gartner ist es jedoch unmöglich, IT-Security-Pläne und das dazu erforderliche Budget durchzusetzen, wenn diese nicht an den Geschäftszielen ausgerichtet sind. Wenn Abteilungsleiter keine Informationen über die Kritikalität ihrer Geschäftsprozesse liefern können oder wollen, muss das gehobene Management einschreiten und vermitteln.
3. Risiken für das Business unverständlich kommunizieren. Security-Verantwortliche müssen einen Weg finden, dem Business die sicherheitsbezogene Relevanz bestimmter IT-Systeme, Informationen und Geschäftsprozesse verständlich zu vermitteln. Gartner empfiehlt eine Messskala mit den Stufen "hoch", "mittel" und "niedrig", um die Kritikalität der IT für das Geschäft auszudrücken.
4. Abteilungsleiter die eigenen Risiken auf die IT-Abteilung abwälzen lassen. Abteilungsleiter nutzen gerne die Bereitschaft der IT-/IT-Security-Abteilung aus, Restrisiken zu übernehmen. Dabei gehen sie fälschlicherweise davon aus, dass das "Standardangebot" der IT jede Art von Risiko adressiert. Dadurch wird die IT-Mannschaft leicht zum Sündenbock für Sicherheitsvorfälle und daraus resultierende Einschränkungen in Sachen Service oder Flexibilität, warnt Gartner. Besser sei es, wenn sämtliche Systeme und Informationen im "Besitz" bestimmter Abteilungsleiter sind, die dann für jegliche Störungen verantwortlich sind.
"Einfache und leicht zu handhabende Risiko-Assessment-Frameworks, explizit übernommene Restrisiken und Security-SLAs (Service Level Agreements) ermöglichen es, für solide Unternehmenssicherheit zu sorgen und Security-Budgets gegen Kürzungen zu verteidigen", sagt Heiser. "Der erste Schritt für IT-Risiko-Manager, sich besser am Business auszurichten, ist, Abteilungsleiter nicht als ein Problem zu betrachten, das es zu lösen gilt, sondern als Kunden, der sichere und zuverlässige IT-Services benötigt."
| ||||
