Security-Strategien
Gute Argumente für Investitionen in Security

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerke

Tom Scholtz von der Analystenfirma Meta Group vertritt die Meinung, dass
der Schlüssel einer überzeugenden Argumentation für Sicherheitsausgaben
darin besteht, die Vorteile zu betonen anstatt sich in den Risiken zu
ergehen.

Positiver Ansatz

Security-Strategien

Die Vorteile von Informationssicherheit sind IT-Managern klar wer aber
Unterstützung vom Vorstand haben will, muss sie in klarer Sprache
erläutern können. Genau das gelingt den meisten IT-Abteilungen nicht.

Es ist wenig hilfreich, dass bei der Rechtfertigung von Sicherheitsmaßnahmen
mit Negativ-Begriffen gearbeitet wird, wozu angstmachende Statistiken
und Berichte über gestiegene Risiken gehören. Führungskräfte sind oft
positiv eingestellte Persönlichkeiten, die Herausforderungen und Risiken
genießen. Auf sie könnten IT-Mitarbeiter, die auf Probleme aufmerksam
machen, kontraproduktiv und obstruktiv wirken.

Risikomanagement,
das Befolgen von Regeln und Informationssicherheit sind für Vorstände
weiterhin wichtige Themen, was aber nicht bedeutet, dass Blankoschecks
für IT-Sicherheitsprojekte ausgeschrieben werden. Im Gegenteil:
Initiativen, die ihren eindeutigen Business-Wert nicht beweisen können,
erhalten kein Budget.

Auf Projektebene ist es der beste Ansatz,
eine Kosten-Nutzen-Analyse zu erstellen, die Risikoreduktion,
quantifizierbare finanzielle Vorteile und andere erwartete
Verbesserungen berücksichtigt.

Es könnte allerdings sein,
dass ein breiterer Ansatz nötig ist, um umfassendere strategische
Unterstützung und Investitionen zu rechtfertigen.


Klare Vorteile müssen auf der Hand liegen

Security-Strategien

Auf dieser Ebene sollten Sicherheitsteams allgemeinere Vorteile
berücksichtigen, die in vier Schlüsselkategorien fallen:


Investitionen
Was ist der erwartete Wert hinsichtlich des finanziellen
Nutzens, der Ausweitung der Marke, der Wettbewerbsdifferenzierung etc.?


Integrität
Wie verbessern sich Verlässlichkeit und Verfügbarkeit im
Tagesgeschäft hinsichtlich größerer Vertraulichkeit, Verfügbarkeit und
Genauigkeit von Geschäftsabläufen?

Versicherung
Wie wird das Risikomanagement hinsichtlich eines genaueren
Verständnisses von Gefahren und geeigneter Risikovermeidungsstrategien
verbessert?

Schadloshaltung Wie erleichtert eine höhere
Sicherheit die Einhaltung gesetzlicher Vorschriften, so dass juristische
und finanzielle Risiken für das Personal und andere reduziert werden,
Dank größerer Aufmerksamkeit und gesteigerten Verantwortungsbewusstseins?

Natürlich müssen die allgemeinen Vorteile im Verhältnis zu dem jeweiligen
Geschäftsfeld betrachtet werden. Dazu gehört, dass die bekannten
Determinanten wie Geschäftserfahrung, Änderungen der regulatorischen
Rahmenbedingungen, globale und lokale Trends der Informationssicherheit
mit den passendsten Kategorien des Geschäftswerts abgeglichen werden.
Dann können die Implikationen abgeschätzt werden und die Anforderungen
abgeleitet und festgehalten werden.

Dieser Ansatz garantiert
natürlich nicht, dass IT-Mitarbeiter die erwarteten Vorteile ihrer Pläne
klar erläutern. Die Botschaft muss unter Verwendung grundlegender
Kommunikations- und Marketingprinzipien auf das Publikum und seinen
Wissensstand zugeschnitten werden.