|
|
 |
|
|
|
| Gute Argumente für Investitionen in Security |
|
Positiver Ansatz
Die Vorteile von Informationssicherheit sind IT-Managern klar wer aber Unterstützung vom Vorstand haben will, muss sie in klarer Sprache erläutern können. Genau das gelingt den meisten IT-Abteilungen nicht.
Es ist wenig hilfreich, dass bei der Rechtfertigung von Sicherheitsmaßnahmen mit Negativ-Begriffen gearbeitet wird, wozu angstmachende Statistiken und Berichte über gestiegene Risiken gehören. Führungskräfte sind oft positiv eingestellte Persönlichkeiten, die Herausforderungen und Risiken genießen. Auf sie könnten IT-Mitarbeiter, die auf Probleme aufmerksam machen, kontraproduktiv und obstruktiv wirken.
Risikomanagement, das Befolgen von Regeln und Informationssicherheit sind für Vorstände weiterhin wichtige Themen, was aber nicht bedeutet, dass Blankoschecks für IT-Sicherheitsprojekte ausgeschrieben werden. Im Gegenteil: Initiativen, die ihren eindeutigen Business-Wert nicht beweisen können, erhalten kein Budget.
Auf Projektebene ist es der beste Ansatz, eine Kosten-Nutzen-Analyse zu erstellen, die Risikoreduktion, quantifizierbare finanzielle Vorteile und andere erwartete Verbesserungen berücksichtigt.
Es könnte allerdings sein, dass ein breiterer Ansatz nötig ist, um umfassendere strategische Unterstützung und Investitionen zu rechtfertigen.
Klare Vorteile müssen auf der Hand liegen
Auf dieser Ebene sollten Sicherheitsteams allgemeinere Vorteile berücksichtigen, die in vier Schlüsselkategorien fallen:
Investitionen Was ist der erwartete Wert hinsichtlich des finanziellen Nutzens, der Ausweitung der Marke, der Wettbewerbsdifferenzierung etc.?
Integrität Wie verbessern sich Verlässlichkeit und Verfügbarkeit im Tagesgeschäft hinsichtlich größerer Vertraulichkeit, Verfügbarkeit und Genauigkeit von Geschäftsabläufen?
Versicherung Wie wird das Risikomanagement hinsichtlich eines genaueren Verständnisses von Gefahren und geeigneter Risikovermeidungsstrategien verbessert?
Schadloshaltung Wie erleichtert eine höhere Sicherheit die Einhaltung gesetzlicher Vorschriften, so dass juristische und finanzielle Risiken für das Personal und andere reduziert werden, Dank größerer Aufmerksamkeit und gesteigerten Verantwortungsbewusstseins?
Natürlich müssen die allgemeinen Vorteile im Verhältnis zu dem jeweiligen Geschäftsfeld betrachtet werden. Dazu gehört, dass die bekannten Determinanten wie Geschäftserfahrung, Änderungen der regulatorischen Rahmenbedingungen, globale und lokale Trends der Informationssicherheit mit den passendsten Kategorien des Geschäftswerts abgeglichen werden. Dann können die Implikationen abgeschätzt werden und die Anforderungen abgeleitet und festgehalten werden.
Dieser Ansatz garantiert natürlich nicht, dass IT-Mitarbeiter die erwarteten Vorteile ihrer Pläne klar erläutern. Die Botschaft muss unter Verwendung grundlegender Kommunikations- und Marketingprinzipien auf das Publikum und seinen Wissensstand zugeschnitten werden.
|
|
|
|
|
|
|
|
|
|
|
|
|
