PowerPoint-Security schützt nicht

» Von Thomas Hediger*, 24.07.2017 09:00.

weitere Artikel

In der Praxis könnte die Integration wie folgt aussehen: Aus den bestehenden Service-Management-Tools (wie CMDB – Configuration Management Data Base) werden Reports generiert, etwa zum aktuellen Stand aller Patches. Sind Systeme veraltet, veranlasst der zuständige Administrator die Aktualisierung. Dies geschieht im Rahmen des operativen Risiko-Managements respektive im «kleinen Risiko-Management-Kreislauf». Jede einzelne Abweichung soll und kann für sich allein nicht bis zum verantwortlichen Management durchdringen. Die Informationsflut wäre zu gross. Die Informationen müssen aggregiert werden und fliessen erst bei Überschreitung eines definierten Schwellenwerts in den übergeordneten strategischen oder eben «grossen» Risiko-Prozess ein. 

Zum Beispiel könnte als Eskalationswert eine bestimmte Anzahl von Systemen mit veralteter Software sein, der Zustand einzelner kritischer Systeme oder Ähnliches. Die Schwellenwerte dienen einerseits als Input für den kontinuierlichen Verbesserungsprozess. Die Werte können aber gleichzeitig auch für die strategische Steuerung über den Risiko-Management-Prozess verwendet werden (siehe Grafik).

Definitionsprobleme

Dass eine Verknüpfung der verschiedenen Management-Systeme nicht immer ganz einfach ist, weiss Georges Mathis, CISO bei Reist Telecom: «Das Feintuning der Schwellenwerte ist knifflig. Es braucht genügend Informationstiefe, um eine Aussage zu machen, ohne jedoch das Management mit Details zu überfluten.» Das Zürcher Unternehmen hat die Integration von IT-Service- und Security-Management bereits umgesetzt. Der Aufwand lohnt sich, meint Mathis, «da wir durch die ISO-20000-Zertifizierung bereits einen hohen Prozess-Reifegrad besitzen».

Durch die Verknüpfung der Prozesse des IT-Service- mit denen des Security-Managements sind die Schnittstellen und Verantwortlichkeiten klar definiert. Die beiden Disziplinen haben jedoch eine unterschiedliche Sicht auf die Risiko-Evaluierung und -Akzeptanz. Hier ist die Definition der Begriffe, das Aufzeigen von Gemeinsamkeiten und insbesondere die transparente Darstellung der unterschiedlichen Bedürfnisse wichtig. Nur so lassen sich allfällige Missverständnisse vermeiden. 

Nächste Seite: Handwerk statt Hochglanz

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.