 |
» |
|
|
|
Obwohl Medien und Industrie den Gefahren durch Viren und Datenverluste viel Aufmerksamkeit schenken, sind die Sicherheitsausgaben bei einigen kanadischen Firmen erstaunlich niedrig. Aus einem aktuellen Bericht von Symantec Corp. geht hervor, dass 68 Prozent der Unternehmen weniger als 10 Prozent ihres IT-Gesamtbudgets für Sicherheit aufwenden, obwohl Datensicherung und Schutz vor unbefugten Zugriffen auf der Sorgenliste der IT-Manager ganz oben stehen.
Weshalb wird bei diesen Unternehmen so viel über IT-Sicherheit geredet, aber so wenig getan? Laut Michael Murphy, Vice-President und Geschäftsführer von Symantec Corp. Canada, halten viele Unternehmen adäquate Sicherheitsausgaben für eine „hohe Kostenlast“ ohne messbaren Nutzen.
Zwar ist es schwierig, den Return-on-Investment (ROI) von Sicherheitslösungen darzustellen, es ist jedoch relativ einfach, den Verlust zu quantifizieren, wenn vertrauliche Kundendaten in falsche Hände geraten oder ein Hacker Ihr System lahmlegt. Doch wie können IT-Verantwortliche die Ausgaben für Sicherheit rechtfertigen, ohne dass es erst zu einer Katastrophe kommen muss?
Das Wichtigste ist zu dokumentieren, welchen Sicherheitsbedrohungen Sie ausgesetzt sind, welche Präventivmaßnahmen bereits ergriffen wurden und wie sich dies alles auf Ihr Unternehmen auswirkt. Letztlich brauchen Sie also harte Fakten, die zeigen, wie gefährdet Ihr Unternehmen ohne geeignete Sicherheitsmaßnahmen ist.
Im Folgenden erfahren Sie, wie Sie diese Fakten für die Geschäftsleitung und die Sicherheitsprüfer entsprechend aufbereiten können.
Sprechen Sie die Sprache des Managements
Die Verantwortlichen interessiert nicht unbedingt, welche Schwachstellen Sie beseitigen und wie viele Spam-E-Mails Sie blockieren konnten. Sie wollen vor allem wissen, inwiefern das Unternehmen von diesen Aktionen direkt profitiert hat. Und dafür können Sie sehr wohl statt quantitativer Daten qualitative Angaben vorbringen.
Liefern Sie also nicht nur Statusberichte ab, sondern beschreiben Sie die wirtschaftlichen Auswirkungen Ihrer Sicherheitsmaßnahmen und verwenden Sie anstelle von reinen operativen Statistiken lieber betriebswirtschaftliche Kennzahlen. Wenn sich das Unternehmen z. B. zum Ziel gesetzt hat, die Kundenzufriedenheit zu erhöhen, stellen Sie dar, wie wichtig Sicherheitsmaßnahmen sind, die Kundendaten vor dem Zugriff durch Fremde schützen, oder wie ein wirksamer Schutz vor DoS-Angriffen dazu beiträgt, dass die Kunden ohne Unterbrechungen auf Ihre Website zugreifen können.
Überzeugen Sie die Prüfer
Sicherheitsprüfer können Ihnen viel zusätzliche Arbeit bescheren, aber sie können auch Ihre Verbündeten sein. Unabhängige Prüfungen sind für die IT-Mitarbeiter eine Möglichkeit der Bestätigung ihrer Glaubwürdigkeit, während die Geschäftsleitung die Gewissheit erhält, dass sich das Unternehmen auf dem richtigen Weg befindet.
Damit es auch dazu kommt, müssen Sie die vorhandenen Sicherheitslösungen und -prozeduren vorführen und nachweisen, dass sie ordnungsgemäß funktionieren. Sie sollten deshalb verschiedene, auf die Prüfung abgestellte Berichte (die auf denselben Daten basieren) vorlegen, aus denen die Sicherheitsarchitektur und die Sicherheitsrichtlinien hervorgehen, die für die Netzwerkgeräte und -server bereitgestellt wurden. Des Weiteren sollten Sie anhand von protokollbasierten Daten zeigen, dass diese Richtlinien umgesetzt wurden und Wirkung zeigen.
Außerdem sollten Sie Berichte z. B. zu Antivirenschutzmaßnahmen und Patches erstellen, die die Umsetzung Ihrer Richtlinien zusätzlich beweisen.
Als IT-Verantwortlicher müssen Sie sich mit potenziellen Bedrohungen auseinander setzen und gleichzeitig dafür sorgen, dass Sie ausreichend Mittel bekommen, um sich vor diesen Bedrohungen zu schützen. Dazu benötigen Sie Informationen darüber, was in Ihrer Umgebung passiert. Mit geeigneten Berichtsstrategien können Sie sowohl die Effektivität Ihrer Sicherheitsmaßnahmen unter Beweis stellen als auch zeigen, wie wichtig diese Maßnahmen für den weiteren Erfolg Ihres Unternehmens sind.
|
|
|
|
Druckversion
