Informationssicherheit auf verlorenem Posten?
Der obererste Wächter über die Datensicherheit in einem Unternehmen hat nicht selten einen schweren Stand. Er ist Freund und Feind zugleich, verhindert er nicht selten Prozesse aufgrund von Datenschutzbestimmungen auf die er pocht. Oliver Peters, Research Fellow bei der Experton Group, sieht jedoch einen Ausweg aus diesem Dilemma.
Betrachtet man die Position der Informationssicherheit in Unternehmen, so entsteht oft der Eindruck, die IT-Sicherheitsbeauftragten bzw. CISOs (Chief Information Security Officers) befinden sich allein auf weiter Flur, wenn es um Verbündete geht.
Die Revision, so vorhanden, arbeitet im Krisenfall mit der Informationssicherheit zusammen, wahrt aber ansonsten ihre aufgabenspezifische Distanz. Der Datenschützer im Unternehmen ist Freund und Feind zugleich: Auf der einen Seite will er die Sicherheit der Daten gewährleisten, aber gleichzeitig die Überwachung der Mitarbeiter einschränken und schränkt die Informationssicherheit in ihren Kontrollmöglichkeiten ein. Die Verantwortlichen für den IT-Betrieb sehen die Informationssicherheit als Show-Stopper und Verkomplizierer. Also wie aus dieser Isolation ausbrechen? Ein mögliches Zauberwort heißt Qualitätsmanagement.
In vielen Unternehmen ist die Qualität der angebotenen Services für die IT-Verantwortlichen ein wichtiges Erfolgskriterium ihrer Arbeit. Was liegt es da näher, als die Daten, die im Rahmen der Überwachung der IT-Infrastruktur gesammelt werden, für die Messung der Qualität zu nutzen?
So können zum Beispiel die Ergebnisse regelmäßiger Scans dazu genutzt werden, die Qualität der Administration der Server zu messen, indem die Aktualität der verwendeten Betriebssysteme überwacht wird. Eine Prüfung der Zugriffsrechte zeigt nicht nur Sicherheitslücken auf, sondern auch, ob die organisatorischen Prozesse der Vergabe und des Entzugs von Berechtigungen funktionieren.
Werden die von der Informationssicherheit generierten Daten für das interne Qualitätsmanagement der IT-Organisation genutzt, so eröffnet dies eine Möglichkeit, die Stellung der Informationssicherheit im Unternehmen deutlich zu verbessern. Durch die Einbindung in das Qualitätsmanagement der Geschäftsprozesse der IT wird ein Mehrwert generiert und sowohl die Akzeptanz als auch die Durchsetzbarkeit für die Kontrollprozesse der Informationssicherheit erhöht.
Grundsätzlich sollte der IT-Sicherheitsbeauftragter bzw. CISO eines Unternehmens prüfen, ob die Prozesse der Informationssicherheit und die dabei erzeugten Daten geeignet sind, das bereits vorhandene Qualitätsmanagement zu erweitern oder zu ergänzen.
