Stevens stellte auf dem Gartner IT Security Summit in London heraus, dass es für Unternehmen von höchster Bedeutung sei, die Schlüsselfaktoren zu kennen, die über Erfolg und Misserfolg eines Policy-Managements entscheiden. Viele Firmen lernten nicht aus Fehlern wie mangelhaftem Anforderungsmanagement und konzentrierten sich zu sehr darauf, es den Führungskräften recht zu machen oder den Kriterien von Security-Audits zu genügen. Dies laufe den unterschiedlichen Bedürfnissen der Unternehmen nach speziell zugeschnittenen Security-Policys zuwider. Stevens bemängelte die fehlende Unterstützung des Managements zur Ausarbeitung konkreter Richtlinien und die oftmals schlechte Kommunikation zwischen den Mitarbeitern, was Sicherheitsrisiken und -lösungen anginge. Stevens rief dazu auf, bestimmte Standards verpflichtend zu gestalten: "Konkrete Inhalte, für jeden verständliche Formulierungen, die klare Verteilung von Zuständigkeiten, eindeutig definierte Ziele bestimmter Regeln und greifbare Konsequenzen für diejenigen, die sich nicht an die Policy halten." Das Regelwerk müsse in die Unternehmenskultur hineinpassen und je nach Abteilung um bestimmte Punkte ergänzt werden. Es sollte - auch mit Hilfe von obligatorischen Audits durch externe Prüfer - regelmäßig aktualisiert werden. Der Gartner-Analyst schlug vor, dass CSO und CEO gemeinsam für die Entwicklung der Standards zuständig sind, während ein Sicherheitsgremium die anschließende Implementierung überwacht. (sh)
