CIO Survival-Guide

Das Dilemma der richtigen IT-Prioritäten

Kommentar  von Bob Lewis
Viele CIOs stecken in der Zwickmühle: Investieren Sie viel in IT-Security, reicht das Geld womöglich nicht für Projekte, die das Business fordert. Was tun?
Das Bewusstsein von Entscheidern auf die richtigen Ziele zu lenken, ist eine Schlüsselkompetenz für den CIO. Gar nicht so einfach, wenn es um IT-Security geht.
Foto: Who is Danny - shutterstock.com

Wollen Sie als CIO überleben? Dann müssen Sie die richtigen Prioritäten setzen. Und für die meisten CIOs sind die fünf wichtigsten Prioritäten derzeit:

IT-Security

IT-Security

IT-Security

IT-Security

Und nicht zu vergessen: IT-Security

Was fehlt?

Sicherheit ist für den CIO von heute ein zweischneidiges Schwert. Einerseits ist die Unterinvestition in IT-Security gefährlich. In der Vergangenheit bedeuteten zu geringe Investitionen in die Sicherheit, dass Unternehmen ein höheres Angriffsrisiko in Kauf nahmen, was zu erheblichen finanziellen Einbußen führen konnte. Ransomware hat das Spiel jedoch verändert. Wer heute zu wenig in IT-Security investiert, nimmt ein höheres Risiko in Kauf, ganz aus dem Geschäft zu fliegen.

Das wahre Risiko des IT-Managements

Die andere Schneide des Schwerts sind Unterinvestitionen in IT-getriebene, neue Business-Initiativen. Etwa durch die Digitalisierung, bei der es um den Einsatz von Informationstechnologien geht, um Umsätze zu steigern und Wettbewerbsvorteile zu erzielen. Wenn Sie hier zu wenig investieren, werden aggressivere Konkurrenten mit der Zeit Ihr Unternehmen auffressen. IT-Manager stecken also in der Zwickmühle: Sie riskieren, mit einem einzigen Schlag aus dem Geschäft zu fliegen, oder Sie riskieren einen schleichenden, aber ebenso tödlichen Verlust von Kunden, Marktanteilen und ihrer Bedeutung.

Hinzu kommt die Maxime des Risikomanagements: Erfolgreiche Prävention basiert auf der Senkung der Eintrittswahrscheinlichkeit eines Risikos. Das bedeutet auch, dass Ihnen und Ihrem Team niemand zu einer gut gemachten Arbeit gratulieren wird. Ebenfalls wird niemand fragen, welche Unterstützung Sie benötigen, um das Unternehmen weiterhin sicher zu halten. Schließlich ist jedes Jahr, in dem Ihre Security-Maßnahmen erfolgreich sind, ein weiteres Jahr, in dem die IT-Budgetverantwortlichen davon überzeugt sind, dass Sie die Risiken überbewertet haben. Wenn Sie mir nicht glauben - erinnern Sie sich an das Jahr-2000-Problem. Da ist das Risiko nach Meinung vieler schließlich auch stark überbewertet gewesen.

IT-Prioritäten: Drei Alternativen

Aber Sie müssen nicht gleich die Flinte ins Korn werfen. Sie haben Alternativen. Einige sind verlockender als andere, aber alle sind besser, als aufzugeben. Nennen wir die erste Alternative "NoSuch"-Manöver, kurz für "There's No Such Thing as an IT Project" - eine Erkenntnis, für die Sie sich mit oder ohne Herausforderungen der Informationssicherheit stark machen sollten.

Hinter "NoSuch" steht der Gedanke, dass so genannte "IT-Projekte" in Wirklichkeit Ansätze sind, einen Teil des Unternehmens anders und besser laufen zu lassen. In diesem Fall sollte die Finanzierung dieser Nicht-IT-Projekte auch nicht aus dem IT-Budget erfolgen. Sie sollten von den Fachbereichen finanziert werden, die von den Auswirkungen profitieren. Auf diese Weise konkurriert die Finanzierung der Projekte nicht mit der IT-Abteilung um das Budget, das dringend für die Informationssicherheit benötigt wird.

Rückbuchungen auf die Fachbereiche

Wenn das Management Ihres Unternehmens einen traditionelleren Ansatz für die Beziehung zwischen IT und Business verfolgt, können Sie ebenfalls verhindern, dass die Informationssicherheit mit Fachbereichen um Ressourcen konkurriert. Durch den bewährten Mechanismus der Rückbuchung werden Kosten für die Anwendungs-Services der IT auf Business Units verlagert, die das, was die IT entwickeln und implementieren soll, auch nutzen werden.

Der Unterschied zwischen Rückbuchungen und dem NoSuch-Manöver ist subtil, aber wichtig: Wenn es so etwas wie ein IT-Projekt nicht gibt, ist die IT in den geschäftlichen Wandel als Vorreiter bei der Identifizierung und Förderung von Möglichkeiten sowie als gleichberechtigter Mitstreiter bei deren Umsetzung eingebunden. Stellt jedoch die IT ihre Dienste in Rechnung, gibt sie ihre Führungsrolle bei der Identifizierung strategischer Chancen und der Verwirklichung einer geschäftlichen Transformation auf. Stattdessen wird die IT zu einem Befehlsempfänger degradiert.

Plan C: Geben ist seliger als Nehmen

Hier ist eine weitere Möglichkeit: Schlagen Sie vor, die Verantwortung für die Informationssicherheit an eine Gruppe zu übertragen, die nicht Ihnen unterstellt ist. Die besten potenziellen Opfer Kandidaten sind die Abteilung für Unternehmens-Risikomanagement (ERM) oder derjenige, der für die Planung der Business Continuity zuständig ist. Nennen Sie es das SEP-Gambit: Someone Else's Problem, das Problem eines anderen.

Für das Unternehmen als Ganzes bringt es auf den ersten Blick wenig, aber aus Ihrer egoistischen Perspektive hat es eine Menge Vorteile, wenn ein anderer die Last der Security tragen darf. Darüber hinaus bietet der Schritt tatsächlich einen gewissen geschäftlichen Nutzen. Denn durch die neue Zuweisung der Verantwortung für die Informationssicherheit kann der Nachfolger die Notwendigkeit zusätzlicher Finanzmittel hervorheben und den üblichen Klagen darüber ausweichen, dass die IT eine Kostenfalle sei.

Sicherheit ist keine Option

Diese drei Alternativen - das NoSuch-Manöver, die Rückbuchungen und das SEP-Gambit - haben das gleiche Ziel: Es soll vermieden werden, dass die Informationssicherheit und Investitionen in neue Business-Funktionen um die Zeit und Aufmerksamkeit der Führungskräfte konkurrieren, was sich direkt auf die Finanzierungsentscheidungen auswirkt. Diese Fähigkeit, die Aufmerksamkeit der Entscheidungsträger auf die richtigen Ziele zu lenken, ist für den Erfolg eines CIOs von zentraler Bedeutung.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation cio.com