Die Implementierung von Kontrollen zur Handhabung von Sicherheitsbedrohungen ist eine Sache - sie zu testen, zu überwachen und zu bewerten eine andere. "Wer Schlüsselkontrollen für kritische Prozesse etabliert hat, braucht ein kontinuierliches Monitoring, um sicherzustellen, dass sie auch funktionieren", stellt Brotby klar. Diese Art der Überwachung kann Teil eines weiter gefassten IT-Governance-Programms oder einer Compliance- und Auditing-Initiative sein.
Viele Kontrollmechanismen, die Unternehmen für das Management von Risiken nutzen, wurden ursprünglich aus taktischen Gründen implementiert. So haben viele Firmen Tools etwa zur Analyse des Netzverhaltens in Reaktion auf so genannte Zero-Day-Bedrohungen eingeführt, die ungepatchte Softwareschwachstellen ausnutzen. Wichtig ist nach Ansicht von Berater Brotby jedoch, Kontrollen stets mit spezifischen Geschäftsrisiken zu verknüpfen und dann zu überwachen, ob sie auch tatsächlich das tun, was sie sollen. "Problematisch ist, dass Kontrollen meist reaktiv, also als Antwort auf eine bestimmte Bedrohung eingeführt werden, sich dann mit der Zeit zu Schichten anhäufen und nicht mehr als Kontrollen erkannt werden", erklärt der ISACA-Consulant.
Für große Organisationen, deren Sicherheitsumgebung auf Basis taktischer statt strategischer Erwägungen gewachsen ist, dürften die beschriebenen fünf Schritte eine Herausforderung sein. Um herauszufinden, welches Sicherheitsniveau in dieser Art von Umfeld erforderlich ist, sollten sich Firmen in einem ersten Schritt mit den gesetzlichen und branchenspezifischen Compliance-Vorgaben beschäftigen, empfiehlt Forrester-Analyst Othersen.
Welche Umgebung auch immer - Unternehmen sollten sich daran machen, der Security-Kernfrage "Wie sicher ist sicher genug?" auf den Grund zu gehen - eine Antwort ist in Reichweite. (kf)
