Klassisches Risiko-Management gefragt
Strategien für das Optimum an IT-Sicherheit
Hin- und hergerissen sind Unternehmen beim Thema IT-Sicherheit. Einerseits ist ihnen klar, dass sie ihre laufenden Geschäfte und sensible Daten vor Gefahren wie Viren oder Würmern aus dem Internet absichern müssen. Andererseits wollen sie dem Thema IT-Sicherheit nicht alles unterordnen, da es in den wenigsten Fällen zu ihren Kernkompetenzen gehört.
In diesem Spannungsfeld haben Unternehmen verschiedene StrategienStrategien für den Umgang mit der Sicherheit entwickelt - mit ganz unterschiedlichem Erfolg. Die Schlusslichter in der Aberdeen-Studie verlieren im Schnitt 8,4 Prozent ihrer Einnahmen durch Probleme mit der IT-Sicherheit. Die Spitzengruppe büßt dagegen nur 1,4 Prozent ein. Insgesamt könnten Firmen mehrere Milliarden Dollar einsparen, wenn sie bei dem Thema strategischer vorgehen würden, so die Marktforscher von Aberdeen. Alles zu Strategien auf CIO.de
Als Vorbild dienen dabei bekannte Tugenden aus dem Risiko Management. Unternehmen, die ihre IT-Sicherheit besonders effizient organisiert haben, arbeiten dabei mit detaillierten Kosten-Nutzen-Rechnungen. Sie erfassen regelmäßig sowohl den finanziellen Aufwand für die IT-Sicherheit, als auch die positiven Effekte, die diese Investitionen mit sich bringen. Dabei protokolliert die IT-Abteilung nicht nur, wie oft das IT-System virenbedingt in die Knie geht. Stattdessen werden auch andere Unternehmensbereiche, beispielsweise Einkauf, FinanzenFinanzen oder die Rechtsabteilung mit in die Auswertung einbezogen. Auf dieser Basis werden dann Ziele definiert, an denen sich die Sicherheits-Technologien messen lassen müssen. Top-Firmen der Branche Finanzen
Eindeutige Verantwortlichkeiten
Außerdem arbeiten die besonders effizienten Unternehmen mit klaren Strukturen. Sie stellen jährliche Budgets für die IT-Sicherheit auf und sorgen dafür, dass es eindeutige Zuständigkeiten gibt. Idealerweise wird die Stelle des Chief SecuritySecurity Officers (CSO) geschaffen, bei dem alle Fäden zusammen laufen. Dieser sollte nicht nur darüber Bescheid wissen, welche Bedrohung aus dem Internet gerade besonders gefährlich ist, sondern auch welche Prozesse zentral für den Unternehmenserfolg sind und deshalb besonders geschützt werden müssen. Alles zu Security auf CIO.de
Entsprechend zielgerichtet können solche Firmen dann auch bei der Auswahl der Sicherheits-Technologien vorgehen. In der Aberdeen-Studie zeichneten sich die effizientesten Unternehmen dadurch aus, dass sie ein genaues Kosten- und Anforderungsprofil für die Sicherheits-Software erstellen und dann unter den Anbietern den jeweils besten aussuchen (Best of breed).