Wer jammert, ist selbst schuld. Das gilt zumindest für Entscheider, denen das Budget für Risk-Management zusammengestrichen wird. Gartner-Analyst Jay Heiser gibt Tipps zur Vermeidung dessen. Seine These: Knackpunkt ist, dass die IT das Business nicht ausreichend in die Pflicht nimmt.
Das gilt in zweierlei Hinsicht: Einerseits tendieren IT-ler dazu, Fachabteilungen und Geschäftsführung für - zurückhaltend formuliert - nicht kompetent genug zu halten. Andererseits hebt das Business nicht unbedingt von sich aus den Finger, wenn es um die Frage der Verantwortlichkeit geht. Liegt aber die Verantwortung bei der Geschäftsführung, ist der Etat für Risk-Management weniger antastbar.
CIOs und Chief Risk Officer (CRO) sollten dabei laut Heiser bedenken, dass jede Geschäftseinheit ihre eigenen Risiken und Sicherheitsbedürfnisse aufweist. Damit kein Bereich über- oder unterversorgt ist, muss sich der IT-Entscheider in dieser Hinsicht auskennen.
Der Gartner-Analyst betrachtet Risk-Management als ein weiteres Feld, auf dem die IT Business-Denke entwickeln muss. Bisher seien CIOs mehr nach ihrem technischen Interesse als den Business-Anforderungen gegangen, so Heiser. Von daher braucht sich mancher nicht zu wundern, wenn beim Risiko-Management der Rotstift angesetzt wird.
IT ist Sündenbock für alles
Beim Zusammenrücken mit den Fachabteilungen ist jedoch Vorsicht geboten. Heisers Beobachtung: Linien-Manager sind nur zu gern bereit, eigene Verantwortlichkeiten auf die IT abzuschieben. Glaubt man dem Analysten, ist die IT in manchem Unternehmen fast zum Sündenbock für alles geworden. CIOs sollten sich nicht scheuen, notfalls eine Ebene weiter oben Verstärkung anzufordern.
Jay Heiser, Research Vice President bei Gartner, führt seine Thesen in dem Report "Four risk management mistakes that threaten your security budget" aus.