Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 42

Um den wirtschaftlichen Beitrag von InfSec zum Erfolg eines Unternehmens aufzuzeigen, ist zunächst einmal notwendig, zu erheben, in welcher Form Kosten für Sicherheit anfallen. Ein gangbarer Weg, um entstehende InfSec-Kosten zu erfassen ist die Einrichtung einer Kostenstellenrechnung. In vielen Betrieben ohnedies bereits üblich, erfolgt hierbei eine Gliederung der Firmenstruktur in Teilbereiche. Die jeweils so entstandenen Kostenstellen repräsentieren selbstständige Abrechnungsbereiche und tragen die Verantwortung für ihre Geldgebarung. Dies schafft eine Grundlage, Wirtschaftlichkeit einzelner Organisationsbestandteile zu überprüfen. Die exakte Vorgehensweise der Berechnung ist Aufgabe der Kostenrechnung und soll an dieser Stelle nicht weiter spezifiziert werden.

Bezogen auf das Thema dieses Buches wäre eine eigene Kostenstelle für InfSec denkbar. Mit welcher Art von Aufwänden auf dem Gebiet der Sicherheit zu rechnen ist, zeigt die nachfolgende Abbildung:



Alle Phasen der InfSec erfordern monetäre Mittel: Um erstmal einen ausreichenden Grundzustand herzustellen, muss analysiert, geplant, entschieden und angeordnet werden, was überhaupt geschehen soll.

Das Ergebnis dieser Tätigkeiten findet sich in der Festschreibung der InfSec-Politik. Anschließend erfolgt die Umsetzung. Die Führungsspitze delegiert in den meisten Fällen die Sicherheitsaufgaben. Dies bedingt Aufwendungen für entsprechendes Personal. Tools werden angeschafft. Die gewünschte Funktionalität wird getestet, anschließend erfolgen Installation und Inbetriebnahme. Der Einsatz von Hilfsmittel bedingt möglicherweise Änderungen in bestehenden Abläufen. Neues Personal wird aufgenommen, Zubauten werden getätigt, oder Prozesse sind anzupassen. Zur Erlangung notwendiger Fertigkeiten - im Umgang mit der geänderten Situation - bedarf es Schulungen. Mit der Betreuung aller Sicherheitseinrichtungen sind permanentes Monitoring und Wartung verbunden. Gegebenenfalls ist natürlich auch eine Reaktion auf Vorfälle erforderlich. Weiters sind die geordnete Dokumentation samt geregeltem Berichtswesen Teil der Sicherheitsaufgaben. Last not least muss InfSec ständig den Änderungen und Weiterentwicklungen der Technologien, Infrastrukturen und Umwelt angepasst und aktuell gehalten werden. Einen endgültigen oder statischen Zustand gibt es nicht. Die Optimierung des Sicherheitsprozesses ist eine wichtige Aufgabe, um den gewünschten Sicherheitslevel aufrechterhalten zu können. Das wiederum bedeutet, dass alle vorher aufgezählten Tätigkeiten und damit verbundene finanzielle Ressourcen wiederholt anfallen.

An dieser Stelle ein Hinweis: Wie bei all den erwähnen Phasen optimal vorgegangen wird, ist Thema der Säule 3 - Prozesse. Dort werden Etablierung und laufende Aufrechterhaltung genau beschrieben.

Grundsätzlich lassen sich sämtliche möglichen Belastungen in Personal- und Sachaufwand unterteilen. Eine direkte Leistungsverrechnung ist meist nur bei den Personalkosten realisierbar. Dies erfolgt im Idealfall mittels Zuordnung zu Kostenstellen. Meist wird die Arbeitszeit nur pauschal erfasst. Andere Infrastruktur-Belastungen sind bereits schwieriger zu beziffern. Das liegt einfach daran, dass nicht alle Leistungsfaktoren bekannt sind oder berücksichtigt werden. Die anschließenden Ausführungen sollen helfen, den üblicherweise „diffusen“ Kostenbereich zu erhellen.