Angesichts der durch die stagnierende Wirtschaft wieder knapper bemessenen IT-Budgets sehen sich auch Sicherheitsverantwortliche gezwungen, jeden Cent, den sie ausgeben, zu rechtfertigen. Unternehmen wollen mittlerweile genau wissen, ob die Mittel, die sie in Security investieren, überzogen, zu knapp oder richtig bemessen sind. IT-Manager geraten demnach zunehmend unter Druck, exakt aufzuzeigen, inwieweit ihre Security-Ausgaben dazu beitragen, die Gefahren für das Business tatsächlich abzuwenden.
Diese Frage akkurat zu beantworten, ist nach Erfahrung von Sicherheitsexperten ebenso Kunst wie Wissenschaft - und erfordert zudem eine Portion Glück. Die folgenden fünf Schritte können Security-Managern helfen, das richtige Maß zu finden.
Wer wissen will, ob die in der eigenen Organisation implementierten Sicherheitsvorkehrungen den Geschäftsanforderungen gerecht werden, muss zunächst herausfinden, welches Sicherheitsniveau das Unternehmen überhaupt anstrebt. Da die Vermeidung sämtlicher Risiken ein Ding der Unmöglichkeit ist, muss ein Unternehmen entscheiden, mit wie viel potenzieller Bedrohung es leben kann, statuiert Krag Brotby, auf Security-Governance spezialisierter Consultant bei der Information Systems Audit and Control Association (ISACA).
"Oft ist von akzeptablem Risiko die Rede, tatsächlich muss der Fokus aber auf den für das Business akzeptablen Risikoauswirkungen liegen", so der Berater. Im Klartext: Zu bestimmen ist das exakte Ausmaß an Störung durch einen Sicherheitsvorfall, das ein Unternehmen zu ertragen bereit ist, bevor es in die Abwehr potenzieller Bedrohungen investiert. Um dies benennen zu können, sind laut Brotby folgende Fragen zu berücksichtigen:
Wie viel würde das Unternehmen in die Abwehr eines Risikos investieren, das mit einer Wahrscheinlichkeit von eins zu zehn eine geschäftliche Störung verursacht, die Kosten von etwa 2000 Dollar nach sich zieht?
Wie viel Geld würde die Organisation für die Abwehr derselben Bedrohung ausgeben, wenn diese einen finanziellen Schaden in Höhe von zehn Millionen Dollar anrichten könnte?
Wie lange kann ein kritisches System ausfallen?
Wie schnell muss die Wiederherstellung erfolgen?
Gibt es gesetzliche und branchenspezifische Compliance-Vorgaben, die eingehalten werden müssen - und wenn ja, welche?
Mit dieser Art von Fragen sollten Sicherheitsverantwortliche das Management ihres Unternehmens konfrontieren, empfiehlt der ISACA-Berater. Der daraus resultierende Verhandlungsprozess liefere gute Anhaltspunkte, welche Risikoauswirkungen als akzeptabel zu betrachten sind, und ermögliche Security-Managern, ihre Planung entsprechend anzupassen.
