3. Implementieren Sie ein Kontroll-Framework

Wer sich Klarheit über das angestrebte Sicherheitsniveau verschafft hat, muss die passenden Techniken sowie Management- und Prozesskontrollen wählen, um dieses zu erreichen und zu erhalten. Am besten gelingt dies aus Sicht von Eric Litt, Chief Information Security Officer (CISO) bei General Motors, mit Hilfe eines internen Rahmenwerks, das Geschäfts- und Risiko-Management-Anforderungen auf entsprechenden IT-Kontrollen abbildet. "Wer gute Entscheidungen treffen will, braucht ein Framework für das eigene Sicherheitsprogramm", weiß der CISO. Standards wie Cobit (Control Objectives for Information and Related Technologies), ISO 17799/27001 und das Accounting-Risk-Management-Framework COSO unterstützen IT-Organisationen bei der Identifikation von Kontrollmechanismen, die dabei helfen, firmenspezifische Geschäftsanforderungen und gesetzliche Vorgaben zu erfüllen. Laut Litt lassen sich mit Hilfe der beiden Frameworks ISO 27001 und 27002 Sicherheitsrichtlinien definieren sowie Methoden und Prozesse entwickeln, um Risiko-Management- und Compliance-Ziele zu erreichen. Darüber hinaus bieten die Standards eine Liste an dazu erforderlichen Technikkontrollen und helfen bei der Auswahl des für den jeweiligen Zweck am besten geeigneten Tools.

Laut Marc Othersen, Analyst bei Forrester Research, lässt sich mit Hilfe eines formalen Rahmenwerks schnell eruieren, wie effektiv Kontrollmechanismen arbeiten, da jede Sicherheitskontrolle auf ein spezifisches Geschäfts- oder Compliance-Ziel abgebildet ist. "Es zeigt, wozu eine Kontrolle überhaupt da ist, verknüpft Sicherheitskontrollen mit IT-Risiken und macht klar, was passieren würde, wenn bestimmte Vorkehrungen versagen", erklärt der Experte. Ziel des IT-Risiko-Managements ist ihm zufolge, das Versagen einer Kontrolle in einen Kontext zu setzen.