BUSINESS BYTES

Wie finden Geschäftsführer das richtige Maß an Sicherheit und Risikoakzeptanz?

  • Gepostet vor 1 Jahr
  • 3 Minuten Lesezeit

Nach dem neuesten CIO Insights Agenda Report von Gartner haben sich die Investitionsschwerpunkte der Geschäftsführer verändert. Seit neustem nimmt die Priorität der Sicherheit ab, während die Bedeutung von Analysemethoden, Business Intelligence, Infrastruktur, Cloud-Diensten und Mobiltechnik steigt. Auf den ersten Blick ist das verständlich – für die Unternehmen ist es weitaus logischer, in Bereiche zu investieren, die eine hohe und sofortige Rendite versprechen. Informationssicherheit gehörte nie zu diesen Bereichen. Investitionen in traditionelle Schutztechnik – wie Firewalls, E-Mail-Schutz und Web-Filteranwendungen – werden allzu oft als lästige Präventivmaßnahmen ohne greifbaren Nutzen angesehen.

Dies muss jedoch nicht unbedingt ein schlechter Ansatz sein, um den Bedrohungen aus dem Netz zu begegnen. Wie die Zahlen von Gartner zeigen, haben viele Geschäftsführer bereits erkannt, dass ein differenzierterer Umgang in Sachen Sicherheit die Chance bietet, effektiveres Risikomanagement auf lange Sicht zu betreiben. In der Praxis beginnt dies mit einem besseren Verständnis der Sicherheitsrisiken im Netz und welche Auswirkungen sie tatsächlich auf die Unternehmen haben können.

Sicherheitsfachleute sollten sich selbst als diejenigen betrachten, die die Geschäftstätigkeit erst ermöglichen. Sie müssen von Anfang an präsent sein und die wichtigen Vermögenswerte vor und nach etwaig eingetretenen Risiken schützen. Aber die Risiken der Informationssicherheit sollten stets als beherrschbar und gegenüber anderen Geschäftsrisiken als nicht problematischer angesehen werden. Risikomanagement in Sicherheitsfragen erfordert, dass man akzeptiert, dass bestimmte Risiken bestehen und Sicherheitsverletzungen immer auftreten werden. Das Unternehmen muss eine Strategie parat haben, um damit umzugehen. Folglich setzen einige weitsichtige Geschäftsführer mittlerweile schon auf Bedrohungsschulung anstatt auf Bedrohungsvermeidung.

Um Risikomanagement betreiben zu können, muss man die Risiken erst einmal verstanden haben. Daher muss man in einem ersten Schritt die unmittelbaren Risiken für das Unternehmen ermitteln, den Vorstand und die Verantwortlichen hierüber informieren und ihnen vermitteln, welche Folgen dies tatsächlich haben kann. Für effektives Risikomanagement ist jeder verantwortlich. Eine Verletzung der Datensicherheit kann enorme finanzielle Schäden als auch Reputationsschäden nach sich ziehen. Die Verantwortlichen und Führungskräfte müssen in einem solchen Fall die entstehenden Kosten kennen und wissen, welche Schritte zu unternehmen sind.

Einige Unternehmen setzen dabei auf eine Simulation des Vorfalls oder der Krisensituation. Dies zeigt nicht nur, wo die blinden Flecken sind, sondern bereitet die Mitarbeiter auch besser auf den Ernstfall vor und gibt ihnen mehr Sicherheit.

Der zweite Schritt ist, zu verstehen, dass das Risikomanagement nicht aufhört, nur weil man sich auf eine Methode zur Reaktion verständigt hat. Im gleichen Maß wie die Bedrohung zunimmt, sollte man auch die entsprechenden Kontrollen und Strategien anpassen. Während eine Person aus der Führungsriege verantwortlich sein muss für die Änderung der Strategie im Risikomanagement, sollte es allen Mitarbeitern möglich sein, Vorschläge dazu einzubringen, damit das Unternehmen die geeigneten Mechanismen im Umgang mit Risiken entwickeln kann. Denken Sie daran, dass sich die umfassende Unternehmensstrategie schnell ändern kann. Wachstum in neue Märkte bedeutet häufig auch neue Risiken in Bezug auf Finanzen und Daten. Der Einsatz digitaler Technik, z.B. Social Media und Cloud-Dienste, kann ebenfalls Auswirkungen haben. Ihre Risikomanagement-Strategie muss im Einklang mit dem Wachstumskurs Ihres Unternehmens stehen.

Schließlich sei darauf hingewiesen, dass die Risikotoleranz unterschiedlicher Unternehmensteile variieren kann. Aus diesem Grund sollten die Sicherheitsbestimmungen einen gewissen Grad an Risiko zulassen, um den unternehmensinternen Zusammenhalt zu gewährleisten. Sicherheitsverletzungen können und werden passieren. Sie zu verhindern ist wichtig, genauso wichtig ist es, sich auf ein abgestimmtes Vorgehen zu einigen, wenn der Ernstfall eintritt. Das Risikomanagement sollte Teil eines umfassenden Programms sein, das die Risikobereitschaft feststellt, Risikomanagement-Grundsätze anwendet und letztendlich klar macht, dass das Erkennen eines Risikos kein Fehler ist, sondern lediglich bestätigt, dass der vereinbarte Prozess funktioniert.