Wohin mit der IT-Sicherheit in Zeiten der Krise?
Die Krise erreicht die IT-Budgets. Deutsche Konzerne haben hier zum Jahreswechsel teilweise 35 Prozent gestrichen, berichtete der Speicherchiphersteller Brocade kürzlich. Mike Small, Chartered IT Professional und Principal Consultant beim Softwarehersteller CA, erklärte gegenüber silicon.de, wo das Sparen Sinn macht.
Die Organisationen müssen trotzdem stark bleiben, wenn es darum geht, sich abzusichern. Wirtschaftlicher Druck ist hart, aber ein größeres Sicherheitsleck genügt, um ein Unternehmen für immer aus dem Rennen zu werfen. Dieser ökonomische Druck sorgt dafür, dass die Rolle des Chief Information Security Officers (CISO) sich zwangsläufig entwickelt und darauf fokussiert, die Technik abzusichern, um dem Geschäft zum Erfolg zu verhelfen. Das heißt, die Security als einen Business Service zu betrachten.
Fusionen und Akquisitionen fordern ebenfalls stark die Prozesse zu rationalisieren und die IT-Dienste dazu zu bringen, dass sie die erwarteten Ergebnisse erzielen. Identity und Zugang sind beispielsweise schon tief eingebettet in die Geschäftsprozesse. Und es könnten bare Gewinne eingefahren werden, wenn man auch woanders Best Practices und die richtigen Technologien einsetzt.
Des Weiteren werden sich die Organisationen aus Gründen der Kostenersparnis auch nach Outsourcing umsehen. Beispielsweise haben die Trends für Virtualisierung und Offshoring die Volumina an Daten erhöht, die extern transferiert werden und zwischen Organisationen wandern. Das steigert das Risiko, dass diese Daten gestohlen oder missbraucht werden, also muss dies in den Security-Planungen bereits entschärft werden.
Die IT-Sicherheit sollte also im Kontext des ganzen Business betrachtet werden, statt nur auf spezifische Technologien und Prozesse beschränkt zu sein. Das Security-Team einer Abteilung sollte sich gerade jetzt mit den Entscheidern im Business zusammentun und darüber sprechen, wie das Business dafür sorgen kann, die Security als einen festen Business-Bestandteil aufzuwerten. Die Unternehmen hängen notwendig davon ab, dass es die IT gibt und die IT-Sicherheit beschäftigt sich immer weniger mit den operativen Risiken und immer mehr mit den Geschäftsrisiken.
Das Ziel ist daher, die Prozesse und die Technologie zu vereinheitlichen und zu vereinfachen. Dadurch werden wiederum die Ziele des Business besser erreicht: die Beweglichkeit steigern, die Kosten reduzieren und zusätzlich den wachsenden Belastungen durch Regulatorien entsprechen.