18.08.2020 / Kategorie: CISO
Wer im Unternehmen ist eigentlich für die Informationssicherheit verantwortlich? Die IT-Abteilung allein? Oder macht ein „Shared Responsibility Ansatz“ mehr Sinn?
Ein Smartphone ist ein Computer, mit dem man auch telefonieren kann. Unsere Fahrzeuge sind Computer, mit denen man auch fahren kann. Der Fernseher kann, neben vielen anderen Funktionen, auch Fernsehprogramme empfangen. Manche erachten das als sehr sinnvoll, andere weniger. Fakt ist: Unternehmen nutzen die Digitalisierung, um Abläufe zu optimieren, ihre Kundenkommunikation zu verbessern und damit effizienter und wettbewerbsfähiger zu werden. Allen derzeitigen Irrungen und Wirrungen zum Trotz: Digitalisierung macht unser Leben einfacher. Sie hat aber auch eine Kehrseite: Sie macht die Gesellschaft zunehmend abhängig vom einwandfreien Funktionieren von Systemen und damit verwundbarer. Dadurch ist die Informationssicherheit zu einem zentralen Erfolgsfaktor für Unternehmen und Gesellschaft geworden.
Digitalisierung bedeutet in erster Linie, dass Fachabteilungen, wie Vertrieb, Logistik, Kundenservice oder Human Resources
Das kann traditionell agierende Sicherheitsorganisationen in Unternehmen rasch überfordern. Traditionell heisst, dass ein entsprechendes Vorhaben durch eine zentrale Stelle der Informationssicherheit zunächst überprüft und dann bewilligt wird. Das ist ressourcenintensiv und zumeist nicht besonders schnell. Die Folge: Die Informationssicherheit wird im besten Fall zu einem Bremsklotz für das geplante Projekt. Im schlechteren, aber in der Realität häufigen Fall, wird sie einfach über- oder umgangen. Beides ist wenig geeignet, um bei Kunden und Partnern langfristig Vertrauen aufzubauen oder regulatorischen Anforderungen zu genügen. Die Frage lautet daher, wie ein Unternehmen seine Leistungen innovativ und trotzdem sicher erbringen kann. Wie muss die Informationssicherheit organisiert sein, damit digitalisierte Unternehmen optimal laufen?
Informationssicherheit wird in vielen Organisationen primär als technisches Problem wahrgenommen. Tatsächlich ist sie in erster Linie eine konzeptionelle und organisatorische Angelegenheit. Die Technik dient dazu, die Konzepte und Prozesse umzusetzen, bzw. die Menschen dabei zu unterstützen. Diese Sichtweise ist notwendig. Sie versetzt die Verantwortlichen in die Lage, die neuen Herausforderungen, die eine Digitalisierungsstrategie mit sich bringt, zu erfassen.
Technologie allein wird das Problem der Informationssicherheit nicht lösen können. Der Schlüssel liegt in einem konzeptionellen Ansatz, der auf Orchestrierung und einer gewissen Dezentralisierung beruht: Shared Responsibility, bekannt aus dem Cloud Hosting. Das bedeutet: Wenn es um die Einhaltung und Umsetzung von Sicherheitsrichtlinien geht, erhalten Fachbereiche
Die Informationssicherheit bleibt dennoch weiterhin die oberste Sicherheitsinstanz. Sie nimmt aber primär eine beratende und partnerschaftliche Rolle ein.
Wie lässt sich ein solches Shared Responsibility-Konzept in der Realität umsetzen? Eine Möglichkeit ist der Einsatz von projekt- oder bereichsspezifischen Information Security Officers (ISO) oder von Security Managern. Sie begleiten und beraten die Fach- und/oder IT-Abteilungen bei der Konzeption, Umsetzung und im Betrieb von digitalen Lösungen. Dabei sorgen sie dafür, dass betriebliche und regulatorische Sicherheitsvorgaben eingehalten werden. Sie unterstehen jedoch weiterhin der Sicherheitsorganisation, um möglichen Interessenkonflikten entgegenzuwirken.
Alternative Möglichkeiten der Umsetzung sind:
In der Folge bringen die entsprechenden Mitarbeiter dieses Know-how in ihre jeweiligen Bereiche ein. So kann ein HR-Mitarbeiter, der mit den Aspekten der Datensicherheit vertraut ist, als interne Anlaufstelle dienen und damit den Data Privacy Officer entlasten. Ein Softwareentwickler, der über Fachwissen im Bereich Security-Testing und -Coding verfügt, kann seinen Kollegen entsprechende Hilfestellung geben. Dieses Prinzip ist nicht neu, sondern in vielen Organisationen unter dem Begriff Superuser- oder in jüngster Zeit unter User Champion aus der Anwendungsbetreuung bekannt. Die Möglichkeiten für die Security sind hier vielfältig, aber das Potential in der Praxis bislang wenig ausgeschöpft.
Zögerlichkeit rechnet sich im Bereich Informationssicherheit definitiv nicht. Die Digitalisierung muss sicher sein, soll sie den gewünschten Erfolg bringen. Die nötigen Konzepte und Technologien sind vorhanden. Es gilt, sie an die individuellen Anforderungen und Wünsche anzupassen und zügig zu realisieren. Das senkt die Risiken und erhöht die Erfolgsaussichten.
Sie möchten mehr zu diesem Thema erfahren oder sich beraten lassen? Kontaktieren Sie uns für ein persönliches Gespräch via info@ispin.ch oder +41 44 838 3111.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications