IT-Security reicht nicht aus
Sicherheit aus dem Keller holen
Fortsetzung des Artikels von Teil 2
Bewusstsein schafft Sicherheit
Transparenz und Motivation sind unerlässlich, damit Informationssicherheit Bestandteil der Kultur einer Organisation wird. Für das Top-Management kommt es darauf an, in der Organisation eine offene Kultur des Austauschs über Sicherheitsfragen zu schaffen und für ein Umfeld zu sorgen, dass die Beschäftigten über alle Abteilungen hinweg motiviert, sich selbst für Sicherheit einzusetzen. Um die Beschäftigten dauerhaft zu sensibilisieren und aktiv einzubinden, können pragmatische Ansätze dienen, wie z.B. der regelmäßige Austausch mit den Fachbereichen (um zu wissen, wo der Schuh drückt) und die Stärkung der Mitarbeiter durch Änderung von Prozessen. Der Sicherheitsbeauftragte kann als Brückenbauer zwischen den unterschiedlichen Interessensgruppen moderieren.
Der Effekt: Informationssicherheit wird ein gemeinsames Ziel und integraler Bestandteil des Handelns. Beschäftigte auf allen Hierarchiestufen werden ganz natürlich den Einfluss ihrer Projekte und Prozesse auf die Informationssicherheit überprüfen, aus eigenem Antrieb Missstände identifizieren und auf deren Behebung drängen. Diese intrinsische Motivation der Beschäftigten adressiert auch noch eine andere Herausforderung: Die fortschreitende Vernetzung und steigende Komplexität machen es für eine Organisation zunehmend schwieriger, das erforderliche Sicherheitsniveau mit einem zentralisierten Ansatz zu erreichen. Allein durch Vorgaben der Führungsebene, die in den Fachabteilungen unreflektiert umgesetzt werden sollen, ist Informationssicherheit kaum noch zu erzielen. Vielmehr hängt sie immer auch davon ab, wie das Tagesgeschäft organisiert ist.
Dabei muss das Subsidiaritätsprinzip gelten: Letztlich haben alle, vom Top-Manager über den Administrator bis zum Pförtner, die Aufgabe, Sicherheit in ihren Bereichen sicherzustellen – Informationssicherheit braucht die Mitwirkung der gesamten Organisation. Darum hat es sich unter anderem bewährt, einen interdisziplinär besetzten Steuerkreis für Informationssicherheit einzurichten. Diesem Steuerkreis kommt eine wichtige Mittlerrolle zu: Das Gremium, dem Vertreter aller Organisationseinheiten bzw. Themenbereiche angehören sollten, kann die unterschiedlichen Bedürfnisse und Interessen aller Abteilungen berücksichtigen.
Managementsysteme als methodischer Rahmen
Organisationen werden es in Zukunft mit immer komplexeren Angriffen auf IT-Systeme zu tun haben. Alle Szenarien im Vorfeld zu durchdenken ist unmöglich. Ein effektiver Ansatz ist, die Organisation so aufzustellen, dass Regelungen zur Unterstützung von strategischen Zielen definiert, Sicherheitsprozesse und Zuständigkeiten etabliert werden. Im Ernstfall steht dann ausschließlich die inhaltliche Arbeit im Fokus, nicht erst die Klärung von Zuständigkeiten.
Es ist Aufgabe der Führungsebene ein effizientes Steuerungssystem aufzubauen. Werden klare Verantwortlichkeiten benannt, ist auch eine zielgerichtete Ressourcensteuerung möglich. Dies adressiert neben den strategischen auch taktische Aspekte, etwa weil die Führung so die Steuerung konkreter Sicherheitsvorfälle gewährleisten kann. Sogenannte Management-Systeme können den notwendigen Rahmen bilden, um Informationssicherheit in der Organisation zu verankern.
- Sicherheit aus dem Keller holen
- Informationssicherheit für die gesamte Organisation
- Bewusstsein schafft Sicherheit
- Bewährte Standards und Tools reduzieren die Komplexität
- Hintergrund: Fünf Schlussfolgerungen zum Thema Informationssicherheit
Lesen Sie mehr zum Thema
