IT-Sicherheit soll eine Business-Disziplin werden
Der Chief Information Security Officer ist kein Informatiker, aber er ist für die gesamte Security verantwortlich. Gartner mit einem neuen Ansatz.
Wenn es nach dem Marktforschungsunternehmen Gartner Research geht, soll die Security in Zukunft nicht mehr allein von der IT getragen weren. Ein Chief Information Security Officer (CISO) soll vielmehr die Security-Aufgaben gleichermaßen außerhalb der IT wahrnehmen. Dies deshalb, weil diese Fragen eher in die Business-Bereiche gehören und prozess- statt technikgetrieben sind. Die Gartner-Experten sind der Ansicht, dass sie mit dieser Empfehlung den Entwicklungen der neuen Wirtschaftsprozesse Rechnung tragen. Analyst Paul Proctor geht davon aus, dass die Anwender in Europa der Idee folgen werden, schließlich hätten bereits einige namhafte Kunden Interesse an mehr Information angemeldet.
“Die Verlagerung der Verantwortung für Security-Fragen muss natürlich individuell auf die Unternehmen abgestimmt werden”, sagt er im Gespräch mit silicon.de. Doch wie auch immer sich die Firmen entscheiden, es sei unaufhaltsam, dass die Technik oder die IT viele Sicherheitsfragen nicht mehr allein beantworten könne. Früher seien Bedrohungen von der Technik aus bekämpft worden, heute sei eine geschäftsgetriebene und bewusste, allseitige Entscheidungsgrundlage notwendig. Und hier hinein gehöre die Aufgabe eines CISO, der mit Kompetenzen und Machtmitteln ausgestattet ist, von der Management-Seite die Fragen anpackt und sämtliche Security-Verantwortlichkeiten in einer Person vereint. Das entlastet nicht zuletzt die IT von der alleinigen Security-Verantwortung, die sie heute nach Ansicht der Gartner-Leute vielerorts noch innehat.
Proctor skizziert: “Wenn ein IT-Leiter heute nach Budgetteilen verlangt, um eine Firewall zu installieren, dann ist das ein höchst einseitiger Prozess – er arbeitet, wenn er klug ist, mit Bedrohungsszenarien und kann das Geld bewilligt bekommen, oder auch nicht. Wenn dagegen ein CISO diese Aufgabe übernimmt und die Security-Risiken als tägliche, zum Geschäft gehörende Tatsache wahrnimmt, die nicht allein von der Technikseite aus angegangen werden muss, dann ist das Gesamtunternehmen der Lösung seiner spezifischen Sicherheitsfragen schon einen Schritt näher gekommen.” Deshalb würden auch immer mehr Unternehmen nicht mehr an der Technik entlang, sondern am Problem entlang ihre Security ausrichten – mit Policies und mit einem CISO.
Ein IT-Mann könne Sicherheit nur in Teilzeit wahrnehmen, so der Analyst. Der CISO dagegen macht dies nach seiner Ansicht als Vollzeit-Job. Er ist “der Mann, dem das gesamte Unternehmen vertraut”. Und seine Fähigkeiten liegen nicht so sehr in der Decodierung von IP-Paketen, sondern in: Kommunikation, Projekterfahrung und der Fähigkeit, strategische, taktische und technische Seiten zu betrachten und je nach den Erfordernissen mit den Geschäftszielen in Einklang zu bringen. Proctor: “Der CISO kann eine stundenlange Unterhaltung über Security führen, ohne ein einziges mal das Wort Firewall in den Mund zu nehmen.”
Zu seiner Unterstützung sollte aber eine Security Policy festgelegt werden. Security, so sagt er, müsse Risk Management gleichen, nicht dem Einbau von Produkten. Denn: “Der bloße Security-Technikeinbau ist ein Relikt aus dem Urschleim der IT. Der CISO begreift das Risiko als Teil des Geschäftsalltags und kann daher die Risiken besser und realitätsnäher bemessen, die Security also auf Business-Seite organisieren und kontrollieren – er zieht die Verantwortlichen an Land, wenn sie sich aus Budgetgründen gegen die Einführung einer bestimmten Technik entscheiden – das gilt also auch für das Management.”
Dabei sei ihm von Unternehmen in Europa die Frage gestellt worden, wie und an wen der CISO berichten solle, wenn es sich insbesondere um kleinere Firmen handle. Er verweist dringend darauf, dass ein CISO nicht “aus Lehm geformt” werden könne. Zuerst, so erläutert der Gartner-Mann, müssten feste Policies und Security-Funktionen im Unternehmen bereits eine Weile besetzt und als solche bekannt sein. “Ohne diesen Zwischenschritt funktioniert der CISO nicht und er bleibt eine Farce, ein Alibi.” Schließlich komme die Sicherheit nicht ohne die “leidige Frage der Unternehmenskultur” aus. Und ohne Top-Down-Unterstützung gehe schon gleich gar nichts – speziell bei Sicherheitsfragen, die jeden im Unternehmen betreffen und angehen.
Der CISO sollte dabei direkt an den Vorstand berichten, allerdings komme das auf die jeweilige Struktur des Unternehmens an, da will der Gartner-Mann kein festes Muster vorgeben. Gleichwohl sollte er die Macht haben, wirklich jedem Mitglied des Unternehmens etwas zu untersagen, was die Sicherheit des Geschäfts gefährden könnte. Ein schöner Beruf also? Mitnichten: “Nur Bilanzprüfer und Rechtsanwälte werden mehr gehasst und gefürchtet als er.”