Enterprise Security

Ist der Erfolg eines unternehmensweiten IT-Sicherheitsmanagement messbar? Wie können die heute notwendigen Investitionen in die IT-Sicherheit zielgerichtet gesteuert werden? Welche Vorteile ergeben sich durch die Berücksichtigung von IT-Sicherheitsstandards?

Angesichts der relativ hohen Investitionen in die IT-Sicherheit eines Unternehmens oder einer Institution stehen die oben aufgeworfene Fragen bei den betriebswirtschaftlich orientierten Entscheidern immer im Vordergrund. In Zeiten knapper Budgets, bei gleichzeitig steigenden technischen, organisatorischen und rechtlichen Anforderungen an die IT-Sicherheit, haben sie noch an Dringlichkeit gewonnen.

Der Workshop Enterprise Security geht dieser Fragestellung nach und konzentriert sich daher in diesem Jahr auf betriebswirtschaftliche Themen der IT-Sicherheit. Vornehmlich Mitarbeiter aus den Bereichen der Unternehmensführung, dem Controlling und des Finanz- und Personalmanagements werden mit diesem Workshop adressiert. IT-Fachkräfte werden wertvolle Anregungen für ihre Arbeit, insbesondere für eine bessere Verständigung mit den kaufmännischen Entscheidern, erhalten.

Heute stehen uns für die IT-Sicherheit ausgezeichnete Managementsysteme und Handlungsempfehlungen, vom British Standard bis hin zum Grundschutzhandbuch, zur Verfügung. Ein Einführungsvortrag gibt einen Überblick über die vorhandenen Managementsysteme und beschäftigt sich mit der Fragestellung, ob und wie die Notwendigkeit der Systeme im eigenen Unternehmen und gegenüber Dritten verdeutlicht werden kann.

Standen in den letzten Jahren mehr oder weniger koordinierte Investitionen in die Maßnahmen zur technischen Absicherung der IT-Infrastruktur im Vordergrund, so stellt sich heute die Frage, wie die Einzelmaßnahmen in ein übergreifendes Sicherheitsmanagement überführt werden können. Ein erklärtes Ziel ist es hierbei, die Kosten zu senken und die Effizienz zu steigern. Im nächsten Schritt wird daher die grundlegende Problematik der Abbildung betrieblicher Prozesse in der IT und ihrer kostenintensiven Absicherung diskutiert. Hierbei wird ein Primat der Wirtschaftlichkeit gefordert, dem gerade in der IT-Sicherheit eine zentrale Bedeutung zukommt.

Einmal eingeführt, müssen sich IT-Sicherheitsmaßnahmen und IT-Sicherheitsmanagementsysteme auf ihre Notwendigkeit, Vollständigkeit und Wirtschaftlichkeit überprüfen lassen. Daher wird dem Thema Metriken in der IT-Sicherheit und möglichen Werkzeugen weitere Aufmerksamkeit geschenkt. Nicht zuletzt ist eine solche Bewertung eine notwendige Voraussetzung, um die vorhandenen Mittel auch in der Zukunft zielgerichtet einsetzen zu können.

Basel II hat bereits heute eine starke normative Kraft entwickelt. Viel Unternehmen wurden und werden einem Rating nach den zugrunde liegenden Standards unterzogen. Wie bei allen neuen Standards die von außen an ein Unternehmen herangetragen werden, ist es von größter Wichtigkeit, den Prozess aktiv zu gestalten und die Bedeutung der IT-Sicherheit als Rating-Faktor richtig einzuschätzen, ebenso das Erkennen und Bewerten der operationellen und finanziellen Risiken, die sich im Zusammenhang mit der eigenen, oder der IT-Infrastruktur von Kunden und Partner ergeben. Durch die abgeleiteten Maßnahmen können die Risiken vermindert und das Rating entscheidend verbessert werden.