Unternehmen
Unser Unternehmen greift auf 35 Jahre IT-Erfahrung zurück und hat sich auf IT-Sicherheitsmanagement spezialisiert.
Unser breit gefächertes Portfolio in IT-Infrastruktur und IT-Sicherheit bieten wir Ihnen aus voller Überzeugung an, da jeder Anspruch auf bestmögliche Sicherheit hat.
Management von IT-Sicherheit
IT-Sicherheit ist nicht nur eine Frage der Entdeckung von Schwachstellen und der Abwehr von Angriffen im Einzelfall. Der Schutz von Informationssystemen erfordert meist die Ergreifung unterschiedlicher Maßnahmen, den gleichzeitigen Einsatz mehrerer Schutzmechanismen und eine ständige Anpassung der Maßnahmen an Veränderungen und aktuelle Gegebenheiten. IT-Sicherheit ist demnach kein statischer Zustand sondern ein Prozess. Diesen Prozess zu steuern, ist Aufgabe des IT-Sicherheitsmanagements, das in wertorientierten Unternehmen seine Ziele am IT-Risikomanagement ausrichten sollte.
Grundlage für das IT-Sicherheitsmanagement ist ein Sicherheitskonzept auf strategischer Ebene, das die Sicherheitsziele eines Unternehmens und die relevanten Rahmendbedingungen wie z. B. den Aufbau einer Sicherungsinfrastruktur und eines Risikomanagements, definiert. Darauf aufbauend werden im Idealfall Sicherheitsmaßnahmen Unternehmensweit geplant. Einen Ausgangspunkt hierfür bieten bspw. die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI), die aber i.d.R. Unternehmensspezifisch angepasst und ergänzt werden müssen. Daher ist es für das IT-Sicherheitsmanagement unerlässlich, ausgehend von einer Bedrohungs- und Schwachstelleanalyse, für verfügbare Sicherheitsmaßnahmen deren Zielbeitrag zu bewerten, über deren Umsetzung zu entschieden, deren Umsetzung auf der operativen Ebene durchzuführen und bezüglich ihrer Wirkung zu überwachen. Diese Vorgehensweise entspricht dem bei Qualitätsstandards üblichen PDCA-Ansatz (Plan-Do-Check-Act) und kommt beispielsweise auch im weit verbreiteten Standard ISO/IEC 27001 für Informationssicherheits Management Systeme zur Anwendung.
Für ein an Unternehmenszielen ausgerichtetes IT-Sicherheitsmanagement ist die wirtschaftliche Bewertung von Sicherheitsmaßnahmen eine zentrale Herausforderung. Während die Kosten in der Regel gut zu bestimmen sind, ist der „Nutzen“ nur schwierig zu ermitteln. Für die Bewertung der Vorteilhaftigkeit von Investitionen in IT-Sicherheitsmechanismen werden in der Praxis zwar einfache Kennzahlen berechnet (z. B. ROSI (Return on Security Investment)), diese sind jedoch nur begrenzt aussagefähig. Darüber hinaus bestehen weitere Ansätze, die durch ihre Integration in das Risikomanagement und die Berechnung der erreichbaren Risikoreduktion zu besseren Ergebnissen –allerdings bei höherem Aufwand bei der Datenerhebung und Berechnung– kommen. Allerdings zeigt es sich, dass weniger fehlende Methoden eine wirtschaftliche Bewertung von IT-Sicherheitsmaßnahmen verhindert als vielmehr eine belastbare Datengrundlage.
Die aktuelle Entwicklung zukünftiger Informationssysteme beispielsweise hin zu Service-orientierten Architekturen, fortschreitende Vernetzung zu unternehmensübergreifenden Geschäftsprozessen oder auch Dezentralisierung und Virtualisierung der IT-Infrastruktur werden das Management von IT-Sicherheit vor neue Herausforderungen stellen: Zum einen werden neue Sicherheitskonzepte benötigt, die über eine reine Zugriffskontrolle hinaus auch eine Nutzungskontrolle von Informationssystemen ermöglicht, um beispielsweise steigende Anforderungen aus dem Bereich „Compliance“ gerecht zu werden. Zum anderen sind neue Methoden zur Bewertung von IT-Sicherheitsmaßnahmen erforderlich, die es auch erlauben, die immer komplexer werdenden und sich dynamisch verändernden Beziehungen zwischen Bedrohungen und deren Auswirkungen auf das Unternehmensergebnis zu berücksichtigen. IT-Sicherheit ist und bleibt damit ein „Schlüssel“ für die Zukunft der Informationsgesellschaft und dürfte –sowohl in Theorie als auch in der Praxis– weiter an Bedeutung gewinnen.