Security-Report-Vorlage: Wie man einen Bericht für die Geschäftsleitung schreibt
Wenn Sie einen Security-Report für die Geschäftsleitung schreiben sollen, ist das nicht zwingend kompliziert. Es gibt aber einige Regeln zu beachten.
Wie sollte ein Security-Report für die Geschäftsleitung aussehen? Gibt es irgendwo Quellen, bei denen man sich Vorlagen für einen IT-Sicherheitsbericht herunterladen kann?
Ich habe oftmals die Erfahrung gemacht, dass Geschäftsführer keine Zeit haben, umfangreiche Berichte durchzulesen, die sich mit dem Status der IT-Sicherheit einer Firma befassen. Im Grunde genommen muss die Führungsebene über kommende Sicherheitsbelange im Bilde sein und wissen, welche Schlüsselereignisse ihre Aufmerksamkeit erfordert.
Regel Nummer Eins in diesem Zusammenhang ist, dass die meisten Chefs keine Überraschungen mögen. Somit ist ein Ziel in einem Security-Report, dass Sie die Überraschungen für das Management auf ein Minimum reduzieren!
Wie sollte der Bericht also aussehen? Meiner Erfahrung nach ist eine PowerPoint-Präsentation auf hohem Niveau das effizienteste Medium. Als ich als CISO im Hafen von Seattle gearbeitet habe, stellte ich fest, dass es schwierig war, meine Chefs im Hinblick auf momentane und künftige Security-Ereignisse auf dem Laufenden zu halten.
Aus diesem Grund habe ich eine einfache PowerPoint-Präsentation entworfen, die wöchentlich aktualisiert wurde. Darin befanden sich nachfolgende Informationen (in der Regel ein Thema pro Seite):
- Titel: Beinhaltet auch den Zeitraum (Datum), um den es in diesem Bericht geht. Beispiele sind 15. - 21. April 2015 oder Pläne für den Zeitraum 22. - 28. April 2015. Außerdem habe ich ein kleines Logo des IT-Sicherheitsabteilung eingefügt und einen „sprechenden“ Titel wie zum Beispiel Wöchentlicher Security-Report verwendet. Behalten Sie im Hinterkopf, dass die Geschäftsleitung jede Menge Berichte zu sehen bekommt. Stellen Sie aus diesem Grund ganz klar heraus, dass es bei Ihrem Bericht speziell um die Informationssicherheit der Firma geht.
- Schlüsselereignisse für die nächsten drei Monate: Heben Sie jedes Schlüsselereignis, jeden Test, jedes Meeting, jede Reise und so weiter explizit hervor. Also alles was Sie oder andere InfoSec-Mitarbeiter in den nächsten drei Monaten geplant haben.
- Ergebnisse: Stellen Sie die Ergebnisse der vergangenen Woche heraus. Auf dieser Folie und der nächsten (Pläne) splitte ich die Informationen in zwei vertikale Spalten. Die linke Seite ist für die Tage der vergangenen Woche zuständig und ich gebe sowohl Tage als auch Datum an. Ein Beispiel ist Montag, 22. April. Unter jedem Tag liste ich dann die jeweiligen Schüsselereignisse oder wichtigen Meetings auf. Auf der rechten Seite hinterlege ich Dinge, die ich als Schlüsselereignisse angesehen habe. Dazu gehören zum Beispiel Projektfortschritt, wichtige Erkenntnisse und Informationen, die auch von außerhalb der Firma kommen können und so weiter.
- Pläne: Das Format ist ähnlich wie bei Ergebnisse.
- Entscheidende Probleme, die Aufmerksamkeit der Geschäftsführung erfordern: Schreiben Sie in Überschriften und darunter in einer Aufzählung, was besondere Aufmerksamkeit des Managements erfordert. Möglicherweise muss die Geschäftsleitung sogar aktiv werden.
Im Grunde genommen ist das meine Vorlage für einen Security-Report. Normalerweise habe ich diese Sonntagabends fertig gemacht, damit er in der folgenden Woche auf dem Tisch lag. Außerdem konnte ich so sehen, was man aus der vergangenen Woche in die neue übertragen muss.
Den Bericht habe ich dem für mich zuständigem Management und auch anderen relevanten Personen, wie dem Leiter des Netzwerk-Teams, per E-Mail zugeschickt.
Im Speziellen waren diese Berichte während Prüfungen nützlich. Ich konnte genau den Verlauf belegen, wie und wann welche Aktionen durchgeführt wurden. Das gilt auch für Ergebnisse und entscheidende Probleme. Somit konnte ich meine Performance gegenüber der Geschäftsführung nachweisen.
Ein Beispiel eines Security-Reports, der nach dem hier beschriebenen Muster geschrieben wurden, finden Sie in diesem PDF-Dokument (Englisch).
Über den Autor:
Ernest N. Hayden gilt als erfahrener Security-Experte, Vordenker und Führungspersönlichkeit aus der Technologiebranche. Seine Spezialgebiete sind der Schutz von Infrastrukturen, Berufs-Informationssicherheit, Cyberkriminalität, Cyberkriegsführung, Security für industrielle Steuerungssysteme und Business Continuity / Disaster Recovery. Außerdem beschäftigt er sich Smart Grid Security und wie diese Systeme auf moderne Bedrohungen reagieren. Hayden arbeitet als Unternehmensberater bei Securicon. Zudem war er als Global Managing Principal bei Verizon tätig. Er war Information Security-Verantwortlicher am Hafen von Seattle, bei der Group Health Cooperative, bei Seattle City Light und bei Alstom ESCA.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!