Die Security Policy in der Firma verankern

Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.

Wir haben in unserem Unternehmen eine gut dokumentierte Security Policy - gelebt wird sie jedoch leider nicht. Jeder Entscheidung gehen die gleichen Grundsatzdiskussionen über Kosten und Notwendigkeit voraus. Mit mehr Managementunterstützung könnten Massnahmen schneller und effizienter umgesetzt werden. Wo und wie müssen wir das Management abholen?

In der englischen Sprache kennt man die zwei Begriffe Politics und Policy. Leider haben wir nur den Begriff der Policy in unseren Sprachgebrauch übernommen. Eine solide und von allen getragene Policy basiert aber auf dem Prozess, mit der sie ausgehandelt und erarbeitet wird. Dieser Prozess wird im Englischen als Politics bezeichnet. Die Policy ist demnach das Dokument, in dem die Ergebnisse des Prozesses schriftlich festgehalten sind.

In unserem Kulturkreis wollen und müssen wir immer sehr schnell zu einem Ergebnis kommen. Das hat zur Folge, dass kritische Personen nicht einbezogen und kontroverse Meinungen nicht berücksichtigt werden. Den Preis für diese Scheineffizienz bezahlen wir mit fehlender Unterstützung bei der Umsetzung, wiederkehrenden Grundsatzdiskussionen und oft auch mit zunehmender Frustration bei den Mitarbeitern.

Die Basis jeder erfolgreichen Policy ist der Weg zum Ziel. Es ist wichtig, dass sie alle Anspruchsgruppen mit auf diesen Weg nehmen. Und dazu gehört auch das Management, denn Sie benötigen ja dessen Unterstützung bei der Umsetzung der Policy. Bevor Sie das Management erfolgreich auf den Weg mitnehmen können, müssen Sie jedoch ein grundsätzliches Problem lösen. Es geht um das gegenseitige Verständnis. Dabei dürfen Sie vom Management nicht erwarten, dass es sich um technische Fragen kümmert und Sie auf diesem Niveau versteht. Sie müssen lernen, wie ein Manager zu denken. Sicherheit darf nie einem Selbstzweck dienen, Sicherheit muss sich immer dem Unternehmenszweck unterordnen. Ziel ist, bestehende strategische Erfolgspositionen zu halten und zu verstärken sowie den Aufbau neuer Positionen zu ermöglichen.

Wie denkt nun das Management? Erfolgreiches Management zeichnet sich dadurch aus, dass es die Lebens- und Entwicklungsfähigkeit der Organisation sicherstellt. Diese Aufgabe wird auch als normatives Management bezeichnet. Es geht darum, die Mission (Aufgabe, Aktivität) der Unternehmung mit der Unternehmenskultur (Verhalten) und der Unternehmensverfassung (Struktur) harmonisch abzustimmen. Fehlende Managementunterstützung ist darauf zurückzuführen, dass die Information Security Policy nicht in der normativen Ebene verankert ist. Es fehlen die grundlegenden Aussagen zur Bedeutung der Informationssicherheit für die Unternehmung. Deshalb muss die Bedeutung der Informationssicherheit und des IT-Risk-Managements für die Unternehmung aufgezeigt werden.

Als Einstieg dazu kann die aktuelle Diskussion über Sarbanes Oxly, Basel II und Solvency dienen. Diese Regulationen definieren auf der normativen Ebene, wie Unternehmen zu führen sind und wie mit Risiken umzugehen ist, damit keine der Anspruchsgruppen zu Schaden kommt. Sie haben so die Gelegenheit, gemeinsam mit dem Management grundsätzliche Aussagen zur Informationssicherheit in der Unternehmung zu erarbeiten. Dabei sind offene Fragen zu klären wie etwa: Wie kann Informationssicherheit die Unternehmenspolitik unterstützen? Wie kann sie für den Ausbau der Wettbewerbsvorteile eingesetzt werden? Welche Regulationen sind für die Organisation weshalb von Bedeutung? Wie kann und will das Unternehmen mit Risiken (auch IT Risiken) umgehen?

Diese Managementvorgaben können Sie dann mit Hilfe von bekannten und bewährten Standards wie Cobit in die für die IT verständlichen Sicherheitsmassnahmen und Kontrollvorgaben übersetzen. Wenn Sie die Vorgaben für die Information Security Policy auf der normativen Ebene verankern, wird Sie das Management verstehen und Sie bei der Umsetzung der Security Policy im operativen Bereich gerne unterstützen.