IT-Sicherheit und Risiko-Management sind Wachstumsbereiche innerhalb der Unternehmen weltweit. Security-Verantwortliche tun sich aber nach wie vor schwer, den Wert ihrer Arbeit den Nicht-IT-Vorständen richtig zu verkaufen. "Das Tempo der Veränderung im Zeitalter der Digitalisierung und dem Internet der Dinge zwingt Security-Verantwortliche in einen anhaltenden Konflikt zwischen dem Business, das Innovation vorantreiben möchte, und ihrem eigenen Sicherheits-Team, das Geschäftsrisiken kleinhalten muss", stellt Gartner-Analyst Paul Proctor fest. Es werde daher immer wichtiger, den Vorständen, die wenig bis nichts mit IT zu tun hätten, den eigenen Wert auf verständliche Art und Weise mitzuteilen. "Die Herausforderung ist, beide Seiten an den gleichen Tisch zu holen. Dafür müssen Security-Teams lernen, ihre eigene Arbeit positiv darzustellen und nach oben zu kommunizieren", empfiehlt Proctor.
Im Vorfeld des "Gartner Security & Risk Management Summit 2014", der Anfang September in London stattfindet und bei dem es auch um diese Herausforderungen gehen wird, gibt der Gartner-Analyst einige Tipps zu diesem Thema:
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.