Dies ist die Fortsetzung des Interviews mit Uwe Kissmann. Letzte Woche ging es um die Situation und die Herausforderungen, im zweiten Teil zeigt der Experte Optionen und Handlungsmöglichkeiten vor.
Uwe Kissmann, Experte für Informationssicherheit
|
Viele Sicherheits-Verantwortliche werden – zum Teil zu Recht – in die IT-Kiste abgeschoben. Doch heute kommt es vielmehr darauf an, auch im Top-Management Bewusstsein für die Business-Bedeutung von IT-Sicherheit zu schaffen.
Es muss sichergestellt werden, dass nicht Geld für unnötige Schutzmaßnahmen ausgegeben wird, sondern dass es dort investiert wird, wo es den größten Nutzen schafft und die Kronjuwelen einer Firma schützt.
Die IT-Sicherheit muss als geschäftlicher Erfolgsfaktor und vor allem Misserfolgsfaktor erkannt werden.
Die immer höhere Dynamik in den Zielmärkten erfordert von den Unternehmen einen signifikanten Wissens- und Informationsvorsprung auf die Mitbewerber, um überhaupt noch Chance auf Erfolg zu haben. Der Verlust von Informationen an die Konkurrenz kann unter Umständen binnen weniger Stunden Geschäftsvorteile zerstören, die über Jahre hinweg aufgebaut wurden.
Dies erfordert eine andere Argumentation der für die Informationssicherheit verantwortlichen Aufgabenträger.
Wenn ich beispielsweise einem Verkaufsvorstand erkläre, dass das neue, hippe B2B-Verkaufsportal einen speziellen Schutz gegenüber DdOS Angriffe, Cross Site Scripting, SQL Injection, unauthorized remote user behaviour analysis und script modification benötigt und dass darüberhinaus möglicherweise noch der Kernel des Web Servers gehärtet werden sollte, ernte ich auf der anderen Seite nur fragende Blicke.
Frage ich ihn aber, was es ihm denn wert sei, dass ausschließlich er und sein Team und nicht etwa die Konkurrenz, Zugriff auf vertauliche Firmenkundendaten haben soll , lautet die Antwort in der Regel : „Sagen Sie mir, wieviel Budget ich anfordern soll ...“.
Sicherheits-Verantwortliche müssen unbedingt lernen, auf Business-Ebene zu argumentieren. Von Bits und Bytes will da niemand mehr was hören. Sie müssen in operativen und finanziellen Aspekten argumentieren, Risiken unter diesen Aspekten bewerten und Mittel gezielt einsetzen.
Bestehende CISOs müssen sich unbedingt in Businessthemen weiterentwickeln und bei der Neueinstellung von CISOs muss auf diese Kompetenzen hoher Wert gelegt werden. Es freut mich zu sehen, dass solche CISOs in einzelnen Unternehmen auch schon Einzug gehalten haben und man trifft beispielsweise manchmal auch schon auf Ausbildungskombinationen einer IT-Ausbildung in Kombination mit einer vertieften Securityausbildung und mit einem MBA. Diese Leute sind rar, können aber durch ihre gesamtheitliche Kompetenz sehr schnell hohe Effizienzsteigerungen im Security-Bereich garantieren.
Mich erinnert das sehr an die Entwicklung des Jobprofiles von Informatikverantwortlichen.
Dort waren vor fünfzehn Jahren mehrheitlich ausschließlich technisch orientierte Personen in diesen Rollen zu finden. Heute liegt das klare Schwergewicht auf Profilen, welche die Schnittstelle zwischen Business und IT in einer ökonomisch sinnvollen Art und Weise abdecken und die eine agile und schnelle Umsetzung einer Firmenstrategie fördern und ermöglichen können. Gleiches gilt für moderne CISOs.
Das Einstellen dieser seltenen CISO-Profile wird aber schwierig angesichts der Tatsache, dass der Bedarf an CISOs schon heute kaum mehr gedeckt werden kann. Länder starten extra Initiativen wie die folgenden, um Menschen für eine Beschäftigung mit dem Thema zu gewinnen. Hier seien die Beispiele Österreich, UK, USA und Deutschland genannt.
Sie sollten risikomanagementbasierte Prioritäten setzen, die reine Technologieecke verlassen, sie aber sehr gut und permanent analysieren, planen und verstehen. Zudem muss ein Businessverständniss entwickeln werden, sowie mit einem ganzheitlichen Konzept aufgetreten werden und diejenigen Partner mit an Bord holen, die auf dieser ganzheitlichen Klaviatur spielen können.
Ein Unternehmung ist letztendlich einem Organismus nicht unähnlich.
Wenn es darum geht, diesen Organismus umfassend, ökonomisch sinnvoll und vor allem nachhaltig zu schützen, sind ein gesamtheitliches Verständniss, entsprechende Erfahrung, sowie eine nachhaltige Zugriffsmöglichkeit auf genügend Resourcen, eine wichtige Leitschnur, der man bei der Auswahl eines Sicherheitsdienstleisters folgen sollte.
Die ökonomische Zielsetzung soll eine günstige und nicht etwa eine billige Umsetzung sein.
Wenn man lediglich den verwenden Versprechungen einzelner Hersteller erliegt und ein einzelnes Security-Produkt kauft, mag dies auf den ersten Blick billiger sein, als die Erarbeitung und Umsetzung eines businessorientierten Schutzkonzeptes.
Es ist aber in der totalen Kostenbetrachtung auf keinen Fall die günstigste Lösung, denn der richtige Partner hilft auch dabei, die richtigen Mittel an der richtigen Stelle einzusetzen und schafft integrierte Lösungen.
Vielen Dank für die Einblicke, Herr Kissmann
Der Leitfaden für Informationssicherheit lässt sich hier kostenlos herunterladen.