SECURITY insight 6/10
SECURITY insight 6/10
SECURITY insight 6/10
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Organisation<br />
Organisation<br />
Foto: Wladimir Wetzel - Fotolia.com<br />
IT-Wächter gehören nicht<br />
in die IT-Abteilung<br />
Transparenz und Überblick durch ganzheitliches Compliance- und Risikomanagement<br />
Von Helge Schmidt und Ellen Wüpper<br />
Fällt der Jumbo aufs Rechenzentrum, ist’s selbst dann vorbei mit der Geschäftstätigkeit,<br />
wenn die Trümmer beseitigt und die Belegschaft wieder gesund ist.<br />
Zugegeben, ein übertriebenes Beispiel. Doch viel anders verhält es sich auch<br />
nicht, wenn die Server im Hochwasser versinken oder ein gerade entlassener<br />
Mitarbeiter das Netzwerk manipuliert. Eine Reihe von Unternehmenskrisen, Firmenzusammenbrüchen<br />
und prominenten Betrugsfällen zeigen das immer wieder.<br />
Dabei ist es sogar gesetzlich vorgeschrieben, für solche Vorfälle gerüstet zu<br />
sein. Doch der Umgang mit den Regelungen zum IT-Risikomanagement lässt in<br />
der Praxis zu wünschen übrig – wie oft bei anderen Sicherheitsangelegenheiten<br />
im Übrigen auch. Die Ursachen: fehlendes Risikobewusstsein, unklare Verantwortlichkeiten,<br />
ungenügende Kontroll- und Informationsmechanismen im Unternehmen.<br />
Marktforscher bestätigen weltweit den Trend, dass zumindest große<br />
Unternehmen bei Compliance und Risikomanagement einem ganzheitlichen,<br />
integrierten und prozessgesteuerten Ansatz folgen. Doch bei kleinen Firmen und<br />
Mittelständlern liegt Vieles im Argen. Dabei benötigen Unternehmen besonders<br />
in Krisenzeiten Transparenz der wesentlichen Risiken, die aus den Geschäftsprozessen<br />
resultieren, sowie die Möglichkeit, kontrolliert damit umzugehen.<br />
Ohne eine systematische Methode, die<br />
an den individuellen Erfordernissen des<br />
Unternehmens ausgerichtet ist, dabei<br />
alle branchenspezifischen Anforderungen<br />
abbildet, die Compliance berücksichtigt<br />
und die vollständige Analyse und<br />
Behandlung aller IT-Risiken erlaubt, wird<br />
das IT-Risikomanagement nur schwerlich<br />
das gewünschte Resultat bringen.<br />
Der Gesetzgeber macht in Sachen IT-<br />
Risikomanagement die unterschiedlichsten<br />
Vorgaben. Zu den wichtigsten<br />
Regelwerken zählen KonTraG, Corporate<br />
Governance Kodex, die deutschen Rechnungslegungsstandards,<br />
Sarbanes-Oxley<br />
Act (SOX), die 8. EU-Richtlinie (EuroSox)/<br />
Bilanzmodernisierungsgesetz sowie Basel<br />
II. Diese Gesetze werden ergänzt durch<br />
eine Vielzahl weiterer, eher für die operative<br />
Arbeit relevanter Gesetze und Verordnungen,<br />
etwa Bundesdatenschutz- und<br />
Telekommunikationsgesetz. Hinzu kommen<br />
weitere Regularien, die sich beispielsweise<br />
aus der Geschäftstätigkeit ergeben,<br />
also branchenspezifische Vorgaben und<br />
Normen zum Qualitätsmanagement bis hin<br />
zu vertraglichen Verpflichtungen gegenüber<br />
Kunden und Lieferanten.<br />
Auch wenn diese Aufzählung nicht vollständig<br />
ist, so wird doch deutlich, dass<br />
den vielfältigen Anforderungen nur mit<br />
einer effizienten Business-Management-<br />
Lösung beizukommen ist, um ein methodisches,<br />
integriertes, strukturiertes, zielgerichtetes<br />
und flexibel auswertbares<br />
Verfahren zu etablieren. Im Ergebnis<br />
erreicht man hohe Transparenz bei Compliance<br />
und IT-Risikomanagement und<br />
über den daraus resultierenden effektiven<br />
Kapitaleinsatz die Optimierung<br />
der Investitionen auf die wesentlichen,<br />
geschäftskritischen Prozesse.<br />
CIOs tragen<br />
die Verantwortung!<br />
Vorstände und andere im Unternehmen<br />
Verantwortliche sind sogar haftbar, wenn<br />
sie die (IT-)Risiken ihres Geschäfts ignorieren<br />
und kein Überwachungssystem<br />
eingerichtet haben. Das gilt auch für die<br />
IT-Verantwortlichen, die ein angemessenes<br />
IT-Sicherheitsniveau schaffen müssen,<br />
da strafrechtlich relevante Verstöße<br />
Quick Check: IT-Risikomanagement und Compliance<br />
• Managen Sie die Sicherheitsziele<br />
im Unternehmen systematisch,<br />
methodisch, ganzheitlich und kontinuierlich?<br />
• Steigern Sie die Effizienz aller<br />
bestehenden und künftigen Sicherheitsmaßnahmen<br />
durch lückenlose,<br />
permanente Überprüfung der IT-<br />
Risiken und der Compliance durch<br />
das PDCA-Verfahren (Plan-Do-<br />
Check-Act)?<br />
• Ist es Ihnen bereits gelungen, die<br />
internen und externen Aufwendungen<br />
im Bereich Informationssicherheit<br />
durch die Einführung und den<br />
Betrieb eines ISMS nachhaltig zu<br />
reduzieren?<br />
• Sind die Erfordernisse aus dem<br />
Risiko- und Maßnahmenmanagement<br />
so transparent, dass ein gezielter und<br />
optimierter Einsatz der Sicherheitsinvestitionen<br />
gewährleistet ist?<br />
• Kontrollieren Sie die Umsetzung<br />
der Maßnahmen aus dem IT-Risikomanagement?<br />
• Arbeiten Sie nach „Best Practice“<br />
und verfügen Sie über bekannte und<br />
akzeptierte Richtlinien zum Informationssicherheitsmanagement?<br />
• Sind Sie in der Lage, die Situation<br />
im Unternehmen tagesaktuell zu<br />
reporten und schnelle und wiederholbare<br />
Ergebnisse zu erzielen?<br />
• Erhöhung Sie das Vertrauen von<br />
Kunden, Lieferanten und Banken<br />
(Wettbewerbsvorteil) durch den<br />
Nachweis eines international<br />
anerkannten Vorgehens zum<br />
Informationsschutz?<br />
• Verfügen Sie über eine Tool-Unterstützung,<br />
die integriert die komplexen<br />
Aufgabenstellungen mit umfangreichen<br />
Funktionen unterstützt?<br />
Falls Sie diese Fragen verneinen, kann<br />
die Informationssicherheit im Unternehmen<br />
durch methodisches Vorgehen<br />
in Verbindung mit Tool-Unterstützung<br />
nachhaltig optimiert und damit ein<br />
wesentlicher Betrag zum weiteren<br />
Unternehmenserfolg geleistet werden!<br />
40 Security <strong>insight</strong><br />
6/20<strong>10</strong> 41