6 Wege, das Management zu überzeugen
Warum IT-Sicherheit scheitert
Spätestens jetzt wird auch die aktive Mitarbeit von Fachabteilungen benötigt, die außerhalb des Einflussbereichs des CIOs liegen. Es bedarf des Commitments und der Autorisierung durch den Geschäftsführer, diese Bereiche in das Projekt mit einzubeziehen und die organisatorischen Änderungen umzusetzen. Entsprechende Entscheidungsvorlagen scheitern allerdings noch zu häufig, bevor sie überhaupt den Weg in das Executive Board finden.
Projekte auf eigene Faust sind teure Luftschlösser
Der Grund hierfür ist eine fehlende Integration des Themas IT-Sicherheit in die strategische Unternehmensplanung, sowie die fehlende Sensibilisierung der Geschäftsleitung für das Thema Informationssicherheit. Nicht selten werden ProjekteProjekte vor der eigentlichen Umsetzung des ISMS gestoppt, weil die Unternehmensleitung aktuell andere Ziele verfolgt und andere Themen priorisiert. Die Folgen sind erheblich: Allein für das Design und die Planung des ISMS verpuffen schnell mehrere hundert Personentage Projektaufwand, ohne eine spürbare und nachhaltige Verbesserung des Sicherheitsniveaus erzielt zu haben. Alles zu Projekte auf CIO.de
Die Unterbrechung des Projekts an dieser Stelle bedeutet in der Regel das komplette Aus des Vorhabens. Der Umsetzungsplan hat nur eine begrenzte Halbwertszeit, da dieser auf der Organisation zum Projektzeitpunkt basiert. Verändert sich diese, wird das ursprüngliche Design hinfällig und es bleibt nur der schwache Trost, es wenigstens versucht zu haben.
Die Leitungsebene muss vor Projektstart abgeholt werden
Damit ISMS-Einführungen es bis zur Realisierung schaffen, geht es also darum, die Geschäftsführung schon vor Projektbeginn von der Tragweite und dem Nutzen für das gesamte Unternehmen zu überzeugen und ihn frühzeitig als Verbündeten zu gewinnen. Der Geschäftsleitung sollte noch stärker bewusst gemacht werden, dass das Management der Informationssicherheit über technische Gesichtspunkte zur Minimierung interner und externer Gefahren hinausgeht.
Es geht um die Verknüpfung von IT-Sicherheit mit den Businessprozessen. Ein effektives ISMS stellt die Verbindung zwischen technischen, personellen, organisatorischen, rechtlichen und infrastrukturellen Aspekten zum Schutz des Unternehmens gegenüber externen und internen Bedrohungen her. Es ermöglicht dem Geschäftsführer seinen ohnehin vorhandenen Kontroll- und Aufsichtspflichten besser nachzukommen und persönliche Haftungsrisiken zu minimieren.