»Sicherheits-Mittler zwischen Betrieb und Geschäftsleitung«
»Sicherheits-Mittler zwischen Betrieb und Geschäftsleitung«. Auf dem Gartner IT Security Summit im September in London forderte Paul Proctor, einer der Sicherheitsexperten des Marktforschungsunternehmens, dass die IT-Sicherheit besser in den unternehmensstrategischen Kontext eingebettet wird. Jürgen Höfling sprach mit dem Analysten darüber, was die Forderung im Detail bedeutet.
»Sicherheits-Mittler zwischen Betrieb und Geschäftsleitung«
Herr Proctor, in Ihrem Vortrag haben Sie den »Chief Information Security Officer« für größere Unternehmen gefordert. In der Sache soll das doch wohl heißen, dass IT-Sicherheit in den Unternehmen bisher zu technisch gesehen wird.
Er ist so: die technische Sicht ist notwendig, aber nicht hinreichend.
Auf jeden Fall müssen die meisten Unternehmen, flapsig ausgedrückt, sich in der Frage der IT-Sicherheit
eine strategischere Denke zu Eigen machen.
Was heißt das, wenn man es in konkrete Maßnahmen umsetzt?
Das heißt in erster Linie, dass die häufig noch vorherrschende technische und reaktive Sichtweise durch eine prozessorientierte und vorbeugende Vorgehensweise abgelöst werden muss.
Entschuldigung, das ist mir zu plakativ, das sagen im Moment irgendwie alle.
Deswegen muss das ja auch nicht nur gesagt werden, sondern organisatorisch in den Unternehmen verankert werden?
…in Gestalt des besagten Chief Information Security Officers…
Entscheidend ist nicht der Name, auch nicht unbedingt die Stellung im Organigramm des Unternehmens, wiewohl es natürlich gut ist, wenn die- oder derjenige der oberen Führungsebene angehört; wichtig ist vor allem, dass die mit dieser Aufgabe betraute Person als Mittler zwischen Unten und Oben fungiert, also zwischen Produktion und Management.
Und was soll die- oder derjenige vermitteln?
Die Geschäftsleitungsebene definiert künftig die gewünschte Sicherheitsstufe und der Chief Information Security Officer setzt sie um. Nach unten reden er oder sie sozusagen hauptsächlich technisch, nach oben hauptsächlich strategisch. Im Prinzip ist das eine Vorstufe zu einem Risiko-Manager beziehungsweise einer Risiko-Managerin.
Welche Fähigkeiten müssen eine solche Risiko-Managerin oder ein solcher Risiko-Manager haben?
Es liegt auf der Hand, dass die kommunikativen Fähigkeiten sehr gut ausgeprägt sein müssen, aber natürlich auch das technische und unternehmensstrategische Verständnis sowie Erfahrungen im Projektmanagement.
Sollte der Risiko-Manager idealerweise nicht Mitglied der Geschäftsleitung sein?
Das wäre sicher nicht schlecht. Wenn er oder sie tiefer aufgehängt sind, dann muss auf jeden Fall gesichert sein, dass ein stabiler Kommunikationskanal zur obersten Führungsebene etabliert wird. Das ist unverzichtbar.
Können Sie Unternehmen nennen, wo diese Struktur schon stabil realisiert ist?
Der Aufbau einer solchen Struktur dauert schätzungsweise gut drei Jahre. Dadurch gibt es Stand heute noch kaum fertige Implementierungen. Aber einige der 2000 größten Unternehmen sind auf einem guten Weg.
Sind bestimmte Branchen weiter als andere, bestimmte Regionen Vorreiter?
Nein, es gibt in allen Branchen Beispiele, vom Finanzwesen bis zur Möbelbranche. Auch bei den Regionen sehe ich keine wesentlichen Unterschiede.
Sind die IT-Programmpakete, die es im Bereich Risiko-Management gibt, für die Ziele, die Sie im Auge haben, brauchbar?
Solche Programmpakete sind ja schon länger auf dem Markt. Mit der hier skizzierten organisatorischen Struktur können sie endlich auch funktionell wirklich ausgereizt werden.
Herr Proctor, vielen Dank für das Gespräch!
