Zur Motivation

Auszug

Insgesamt ist es eine nicht zu unterschätzende Herausforderung, gute IT-Sicherheitskonzepte zu schreiben und die IT-Sicherheit qualifiziert zu managen. Man kann sich diese Aufgabe aber auch unnötig schwer machen: Betrachten wir einige Erfahrungen aus der Praxis von Sicherheitsberatern:

• Unklare Verantwortlichkeiten bezüglich der IT-Sicherheit sowie eine schwammige Abgrenzung zu anderen Aufgaben im Unternehmen erschweren ein zielführendes Sicherheitsmanagement, machen es teilweise sogar unmöglich.

• Operiert man mit unklaren Begriffen, so versteht jeder Beteiligte etwas anderes, es gibt langwierige, ineffektive Diskussionen unter den Betroffenen, die Analysen werden unterschiedlich interpretiert, das Ergebnis ist in alle Richtungen auslegbar und damit nichtssagend.

• Verwendet man für den Sicherheitsprozess Vorgehensmodelle, die hoch-wissenschaftlich angelegt oder im Gegenteil zu banal gestrickt sind, ist das Ergebnis praxisfern, nutzlos und bestenfalls für die „Schublade“ geeignet.

• Das leidige Thema „Dokumentation“: Man kann bei der Vielzahl von Dokumenten, Listen und Informationen in der Praxis leicht den Überblick verlieren, wenn man hier ohne eine gute Struktur und Planung einsteigt.

• Macht das Sicherheitsmanagement nur Vorgaben, ohne die Einhaltung derselben zu kontrollieren, hat man eine klassische Management-Aufgabe nicht erfüllt und damit grob fahrlässig gehandelt.