Informationssicherheit

IT-Sicherheit nicht nur punktuell erledigen

11.01.2016
Von  und Jan Graßhoff
Sven Malte Sopha ist Senior Management Consultant bei Cassini Consulting am Standort Berlin.

Bewusstsein schafft Sicherheit

Transparenz und Motivation sind unerlässlich, damit Informationssicherheit Bestandteil der Kultur einer Organisation wird. Für das Top-Management kommt es darauf an, in der Organisation eine offene Kultur des Austauschs über Sicherheitsfragen zu schaffen und für ein Umfeld zu sorgen, dass die Beschäftigten über alle Abteilungen hinweg motiviert, sich selbst für Sicherheit einzusetzen.

Um die Beschäftigten dauerhaft zu sensibilisieren und aktiv einzubinden, können pragmatische Ansätze dienen, wie z.B. der regelmäßige Austausch mit den Fachbereichen (um zu wissen, wo der Schuh drückt) und die Stärkung der Mitarbeiter durch Änderung von Prozessen. Der Sicherheitsbeauftragte kann als Brückenbauer zwischen den unterschiedlichen Interessensgruppen moderieren.

Der Effekt: Informationssicherheit wird ein gemeinsames Ziel und integraler Bestandteil des Handelns. Beschäftigte auf allen Hierarchiestufen werden ganz natürlich den Einfluss ihrer Projekte und Prozesse auf die Informationssicherheit überprüfen, aus eigenem Antrieb Missstände identifizieren und auf deren Behebung drängen. Diese intrinsische Motivation der Beschäftigten adressiert auch noch eine andere Herausforderung: Die fortschreitende Vernetzung und steigende Komplexität machen es für eine Organisation zunehmend schwieriger, das erforderliche Sicherheitsniveau mit einem zentralisierten Ansatz zu erreichen.

Allein durch Vorgaben der Führungsebene, die in den Fachabteilungen unreflektiert umgesetzt werden sollen, ist Informationssicherheit kaum noch zu erzielen. Vielmehr hängt sie immer auch davon ab, wie das Tagesgeschäft organisiert ist. Dabei muss das Subsidiaritätsprinzip gelten: Letztlich haben alle, vom Top-Manager über den Administrator bis zum Pförtner, die Aufgabe, Sicherheit in ihren Bereichen sicherzustellen - Informationssicherheit braucht die Mitwirkung der gesamten Organisation.

Darum hat es sich unter anderem bewährt, einen interdisziplinär besetzten Steuerkreis für Informationssicherheit einzurichten. Diesem Steuerkreis kommt eine wichtige Mittlerrolle zu: Das Gremium, dem Vertreter aller Organisationseinheiten bzw. Themenbereiche angehören sollten, kann die unterschiedlichen Bedürfnisse und Interessen aller Abteilungen berücksichtigen.

Zur Startseite