Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Warum Unternehmen mit IT-(Security)-Budgets nicht zaudern sollten

Gastbeitrag: Die richtige Balance

Warum Unternehmen mit IT-(Security)-Budgets nicht zaudern sollten

16. April 2010, 12:18 Uhr | Lars Bube
Fortsetzung des Artikels von Teil 3

Risiken identifizieren und kontrollieren

Neben diesen Detailanstrengungen ist es ratsam, zusammen mit dem CSO eine Strategie zu entwickeln wie die erkannten und bewerteten Risiken durch koordinierte interne Maßnahmen zu kontrollieren sind. Ein erfolgreicher Ansatz ist, die geldlich bewerteten Risiken zu akkumulieren und den „Verursachern“ dieser Risiken deren Bewältigung »abzukaufen« indem man ein entsprechendes Risikomanagement Budget abfordert. Mit dem Erhalt dieses Budgets übernimmt man als vereinte Sicherheits- und IT-Abteilung nicht nur die Governance, also die Überwachung des Risikos, sondern betreibt auf aktiv die Mitigation und die Beseitigung des selben. Somit erarbeitet man sich einen »unabhängigen« Budgettopf, mit dessen Hilfe man die notwendigen Infrastrukturen aufbaut bzw. pflegt die ein Risikomanagement ermöglichen. Über den Umweg eines solchen Budgets können theoretisch auch bislang auf Clients oder User umgelegte Infrastrukturkosten verringert werden, da zum Beispiel der Betrieb eines integriertes IAM und GRC Tools für alle Anwendungen und Systeme bezahlt werden kann.

Weitere wichtige Komponenten eines zukunftsfähigen IT-(Security)-Managements sind dann zum Beispiel ein Application Lifecycle/Maintenance Managements System, in dessen Rahmen die Anforderungen an eine Applikation, deren Umsetzung, die Verbesserungen und Anpassungen im Betrieb und schließlich die Deaktivierung überwacht werden. Vorteil aus Sicht der IT-Sicherheit: notwendige Anpassungen wie zum Beispiel der Übergang von einer alten Java Umgebung auf die aktuelleren Versionen können gesteuert werden und entsprechendes Budget wird planbar. Ein weiteres Infrastruktur-Thema ist dann die generelle Bestrebung eines Schwachstellenmanagements sowohl für die Clients und Server Betriebssysteme (falls dies nicht schon durch ein durchdachtes Asset- und Lizenzmanagement abgedeckt ist) sowie für die installierten Applikationen und Tools. Hier können auf breiter Basis Risiken entdeckt, bewertet und – teils automatisch – minimiert werden. Als notwendige Erweiterung sollte an dieser Stelle die Analyse, Überwachung und Beseitigung von Schwachstellen in den heute so verbreiteten und sehr dynamischen Web-Anwendungen betrachtet werden.

  1. Warum Unternehmen mit IT-(Security)-Budgets nicht zaudern sollten
  2. Die Bedürfnisse der Fachabteilungen antizipieren
  3. Schlechte Planung ist weit verbreitet
  4. Risiken identifizieren und kontrollieren
  5. IT-getriebene Innovation umsetzen

Lesen Sie mehr zum Thema

Kuppinger Cole
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kuppinger Cole

Informationssicherheit

Kuppinger-Cole: Private Endgeräte in der Firma sind nicht zu kontrollieren

Lokales Kennwortmanagement - ein Sicherheitsrisiko

Single Sign On ja, aber richtig!

Gastkommentar

Swift-Abkommen vs Sicherheit

Gastbeitrag: Virtualisierung will wohlüberlegt…

Desktop-Virtualisierung - mehr als nur ein Hype?

Gastbeitrag: Welcher Identity Provider für was?

Es gibt mehr als nur die interne IT

Matchmaker+
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
Securepoint GmbH

Securepoint GmbH
NFON AG

NFON AG
Riello UPS GmbH

Riello UPS GmbH