6 Wege, das Management zu überzeugen
Warum IT-Sicherheit scheitert
6 Ratschläge, um die Leitungsebene zu überzeugen
1. Vorstände frühzeitig einbeziehen
Die gesamte Leitungsebene sollte schon in einer frühen Planungsphase einbezogen sein. IT- und Fachabteilungen stellen dafür gemeinsam den Nutzen eines ISMS für die Geschäftsziele des Unternehmens dar - und zwar in einer für Nicht-IT-Experten verständlichen Weise. Dafür eignen sich beispielsweise "Was wäre wenn"-Szenarien. Theoretische Bedrohungen und technische Sicherheitsmaßnahmen in den Vordergrund zu stellen, überzeugt Geschäftsführer dagegen in der Regel nicht.
2. Wahl eines überschaubaren Anwendungsbereichs
Die Umsetzung eines ISMS für das Gesamtunternehmen in einem einzelnen großen Schritt ist oft ein zu ehrgeiziges Ziel. Viele kleine Schritte und ein langfristiger, kontinuierlicher Verbesserungsprozess ohne Mammut-Investitionen zu Beginn sind Erfolg versprechender. So kann es beispielsweise besser sein, das erforderliche Sicherheitsniveau zunächst nur in ausgewählten Bereichen umzusetzen. Von diesen Keimzellen ausgehend, lässt sich dann die Sicherheit in der Gesamtorganisation kontinuierlich verbessern.
Erste Wahl sind Abteilungen und Geschäftsprozesse mit großem Gefährdungspotenzial. Dabei können große Teile der einmal erarbeiteten Ergebnisse, wie zum Beispiel Sicherheitsberichte/-prozesse oder Sicherheitsrichtlinien, später wiederverwendet werden indem sie auch in anderen Unternehmensbereichen angewendet werden, bzw. indem der Geltungsbereich von Sicherheitskonzepten und -richtlinien ausgeweitet wird.
3. Dokumentieren, kommunizieren, sensibilisieren
Management Boards sollten dazu genutzt werden, die Leitungsebene regelmäßig über IT-bezogene Risiken und deren potenzielle Auswirkungen auf das Gesamtunternehmen in Kenntnis zu setzten, auch wenn noch kein systematisches IT-Risikomanagementsystem etabliert ist oder das IT-Risikomanagement bisher eine untergeordnete Rolle im Unternehmen spielt.
4. Enge Zusammenarbeit mit den Fachabteilungen - Schaffen eines Sicherheitsbewusstseins
Der CIO oder CISO sollte die Fachabteilungen in den Sicherheitsprozess einbinden, da sie die eigentlichen Nutznießer von Informationssicherheit sind. Die Fachabteilungen sollten zur treibenden Kraft bei der Festlegung von Sicherheitszielen sein und dürfen aus dieser Verantwortung auch nicht entlassen werden. Die IT-Experten entwerfen die technische Lösung, um diesen Anforderungen zu entsprechen und setzen diese im Auftrag der Fachabteilungen oder der Leitungsebene um. Im Arbeitsalltag findet man oft die umgekehrte Wahrnehmung, nämlich, dass die Fachabteilung sich durch ständig neue Sicherheitsanforderungen von der IT-Abteilung drangsaliert fühlt.