Information Security Governance: Einführung und Leitfaden

Für Information Security Governance sind eine organisatorische Struktur und klar definierte Verantwortlichkeiten, Aufgaben und Mechanismen notwendig.

Governance- und Security-Programme werden in unserer Branche diskutiert. Dennoch verstehen nicht viele Organisationen oder Security-Profis komplett, was alles zu diesen Konzepten gehört und wie diese in einer Wechselbeziehung stehen.

Nur einige Security-Richtlinien aufzustellen und sich dann auf das Absichern des Netzwerks zu konzentrieren, reicht ganz einfach nicht aus. Wollen Sie IT-Sicherheit in Geschäftsprozesse einbeziehen, braucht Ihre Firma ein robustes Information-Security-Programm, das sich auf die treibende Kräfte des Geschäftes, die rechtlichen und regulatorischen Anforderungen und die Bedrohungsprofile abbildet. Die folgende Artikelreihe bietet eine Einführung darin, was Information Security Governance und ein Security-Programm sind. Außerdem zeigen wir Ihnen, wie Sie solche Konzepte innerhalb der eigenen Umgebung entwickeln.

Was ist Information Security Governance?

Information Security Governance ist ähnlich zu Corporate- und IT-Governance, weil es zwischen den dreien Überschneidungen bei Funktionalität und Zielen gibt. Alle drei bewegen sich in einer organisatorischen Struktur eines Unternehmens und verfolgen die gleichen Ziele. Man stellt damit sicher, dass eine Firma überlebensfähig bleibt und wächst. Lediglich der Fokus ist unterschiedlich.

Corporate Governance hängt damit zusammen, wie der Aufsichtsrat und das leitende Management ein Unternehmen führen und kontrollieren. IT-Governance bestimmt, wie man Technologie einsetzt und managt, damit sie die Anforderungen für das Geschäft bestmöglich erfüllt. Es gibt viele professionell und offiziell klingende Definitionen für Information Security Governance. Eine davon können Sie im Werk Information Security Governance Guidance for Boards of Directors and Executive Management, 2nd Edition vom IT Governance Institute nachlesen:

„Security Governance ist ein Satz an Verantwortlichkeiten und Praktiken, die vom Aufsichtsrat und dem leitenden Management eingesetzt werden, um die strategischen Ziele vorzugeben. Damit ist sichergestellt, dass die Zielvorgaben erreicht werden. Weiterhin ist garantiert, dass Risiken angemessen gehandhabt und die Ressourcen eines Unternehmens verantwortungsvoll eingesetzt werden.“

Diese Definition ist korrekt. Allerdings ist Sie recht hochgestochen und somit schwer verständlich, respektive umsetzbar. Die Definition gleicht eher einer Aussage zu den strategischen Richtlinien. Die Kunst liegt nun darin, diese richtig zu interpretieren und sie in aussagekräftige, taktische und betriebliche Funktionen sowie Praktiken umzuwandeln.

Information Security Governance umfasst alle Tools, alle Mitarbeiter und sämtliche Geschäftsprozesse, um die Sicherheit so umzusetzen, dass sie den Ansprüchen der Firma entspricht. Es bedarf einer organisatorischen Struktur, Rollen und Verantwortlichkeiten, Performance-Messungen, definierte Aufgaben und Mechanismen, um den Überblick zu behalten. Diese Definition ist allerdings auch nicht viel besser, oder?

Lassen Sie uns zwei Firmen vergleichen. Unternehmen A betreibt ein effizientes Programm für Information Security Governance und Unternehmen B tut das nicht. Für das ungeübte Auge sieht es möglicherweise so aus, dass Unternehmen A und B bei den Security-Praktiken auf Augenhöhe sind. 

Beide verwenden Sicherheitsrichtlinien, relevante Prozeduren, Standards und die gleichen Technologien für die Security-Kontrolle. Damit sind zum Beispiel Firewalls, IDS, Identitätsmanagement und so weiter gemeint. Beide Firmen besitzen außerdem Security-Teams mit einem geeigneten Manager. Sie denken sich nun vielleicht: „Wow, die beide Firmen sind aber auf hohem Niveau mit ihrem Security-Programm.“. Wenn Sie allerdings genauer hinsehen, gibt es entscheidende Differenzen.

Unternehmen A

Unternehmen B

Der Vorstand versteht, dass Information Security für das Unternehmen sehr wichtig ist und vierteljährlich hinsichtlich Security-Performance und Einbrüche aktualisiert werden muss.

Der Vorstand hat keine Ahnung, dass Information Security in seiner Verantwortung liegt. Er konzentriert sich ausschließlich auf Corporate Governance und Profite.

CEO, CFO, CIO und die Abteilungsleiter arbeiten in einem Risiko-Management-Gremium Hand in Hand und treffen sich monatlich. Information Security ist immer ein Thema auf der Agenda, das man neu bewertet.

CEO, CFO und Abteilungsleiter sind der Meinung, dass Information Security in der Verantwortung von CIO, CISO und der IT-Abteilung liegt und wollen sich da nicht einmischen.

Die Geschäftsleitung legt ein akzeptables Risiko-Niveau fest. Dieses gilt als Basis für die Security-Richtlinien des Unternehmens und allen anderen Security-Aktivitäten.

Der CISO nimmt stereotype Security-Richtlinien, schreibt den Namen des Unternehmens hinein und lässt diese Dokumente vom CEO abzeichnen.

Die Geschäftsleitung macht die Abteilungsleiter für die Durchführung der Risiko-Management-Aktivitäten für die jeweilige Abteilung verantwortlich.

Alle Security-Aktivitäten finden in der entsprechenden Security-Abteilung statt. Aus diesem Grund arbeitet die Security innerhalb eines Silos und ist nicht im gesamten Unternehmen integriert.

Entscheidende Geschäftsprozesse sind zusammen mit den relevanten Risiken dokumentiert, die in den verschiedenen Schritten des Geschäftsprozesses auftreten können.

Die Geschäftsprozesse sind weder dokumentiert noch auf potenzielle Risiken analysiert, die den Betrieb, die Produktivität und den Profit negativ beeinflussen können.

Die Angestellten sind verantwortlich für alle Sicherheitsverletzungen, bei denen sie beteiligt waren. Dabei spielt es keine Rolle, ob das absichtlich oder unabsichtlich der Fall war.

Richtlinien und Standards sind ausgegeben, aber sie werden nicht durchgesetzt. Weiterhin gibt es keine Praktiken hinsichtlich der Verantwortlichkeit.

Security-Produkte, gemanagte Services sowie Consultants werden angeheuert und alle davon in Kenntnis gesetzt. Weiterhin überprüft man diese regelmäßig und garantiert somit, dass diese kosteneffizient sind.

Security-Produkte, gemanagte Services und Consultants werden ohne Hintergrundinformationen oder Performance-Metriken angeheuert. Somit kann man weder den ROI noch die Wirksamkeit bestimmen. Das Unternehmen bekommt ein falsches Gefühl an Sicherheit, weil es Produkte, Consultants und/oder gemanagte Services einsetzt.

Das Unternehmen überprüft periodisch die Geschäftsprozesse. Dazu gehört auch die Security, um diese immer weiter verbessern zu können.

Die Firma analysiert die Performance nicht, um damit Verbesserungen implementieren zu können. Stattdessen macht man weiter wie bisher und dadurch auch immer wieder die gleichen Fehler.

Viele Unternehmen haben heutzutage bereits die meisten Komponenten und Teile für ein Security-Programm im Einsatz. Dazu gehören Richtlinien, Standards, Firewalls, Security-Teams, IDS und so weiter. Allerdings ist die Geschäftsleitung nicht involviert und die Security durchsetzt nicht das gesamte Unternehmen.

Stattdessen sind diese Komponenten und Teile in der Verantwortung eines kleinen Sicherheitsteams, das sich wiederum kümmern muss, dass die Security in der gesamten Firma angemessen funktioniert. So ein Unterfangen ist nahezu unmöglich. Wäre Sicherheit lediglich ein Technologieproblem, könnte das Security-Team die entsprechenden Produkte installieren, konfigurieren und warten. Das Unternehmen würde in so einem Fall entsprechende Audits mit einer besonderen Auszeichnung bestehen.

Als Security-Profi müssen Sie allerdings verstehen, dass die Sicherheit im gesamten Unternehmen implementiert werden muss. Dafür sind mehrere Anlaufpunkte für Verantwortung und Haftung entscheidend. Information Security Governance ist ein zusammenhängendes System an integrierten Security-Komponenten. Dazu gehören Produkte, Mitarbeiter, Training, Prozesse, Richtlinien und so weiter. Arbeiten sie alle miteinander, garantiert das ein Überleben der Firma und beschert hoffentlich Wachstum.

Über den Autor:
Shon Harris war Gründerin und CEO von Logical Security LLC, ein Informations-Security-Consultant, eine ehemaliger Technikerin der Einheit Air Force Information Warfare, sowie Lehrerin und Autorin. Sie hat an mehreren internationalen Bestsellern über Informations-Security mitgeschrieben, die von McGraw-Hill und Pearson verlegt wurden. Die Werke haben sich über eine Million Mal verkauft und wurden in sechs Sprachen übersetzt. Sie schrieb akademische Textbücher für diverse Herausgeber und Artikel für Handels-Magazine. Shon Harris starb im Oktober 2014.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management