Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 19
Zentrale Koordination und Verantwortung
ОглавлениеGrundsätzlich birgt es zweifellos großes Konfliktpotenzial in sich, wenn zu viele Personen bei einer Regelung mitbestimmen wollen. Dies wird vor allem dann ersichtlich, wenn sich der Eine oder Andere in seiner Freiheit bedroht fühlt oder übervorteilt wähnt. Konzepte und Strategien demokratisch zu erarbeiten, ist durchaus sinnvoll und richtig. Festgelegt und in Kraft gesetzt werden müssen diese aber diktatorisch. Diese Aufgabe obliegt jenem Menschen, der die Letztverantwortung trägt, dem CEO. Er allein hat sämtliche Informationen zur Verfügung und somit vollständigen Überblick über das Firmengeschehen. Zentrale Koordination und endgültige Entscheidung über den Inhalt der InfSec-Policy muss unbedingt von der Firmenspitze ausgehen. In der Praxis hat sich dieser Umstand als extrem wichtig erwiesen. Denn: immer wieder ist zu sehen, dass einzelne Stellen innerhalb der Hierarchie einfach eigene Regelungen in Kraft setzen. Diese sind dann natürlich genau auf die momentan gewünschten Bedürfnisse zugeschnitten und stellen oftmals spezielle Anlassregelungen zugunsten der Aussteller dar. Diese Vorgehensweise bedeutet aber zweifellos eine Unterwanderung der gesamten Unternehmenspolitik. Die Firmenleitung darf dies keinesfalls tolerieren! Ansonsten existiert binnen kürzester Zeit eine Vielfalt von Regelwerken, von denen niemand weiß, welche nun tatsächlich gültig sind. Das Chaos wird dann perfekt, wenn sich einzelne Dokumente gegenseitig auch noch widersprechen.
Speziell im Bereich der Sicherheit hat sich gezeigt, dass das Verfolgen persönlich motivierter Ziele einzelner Stellen sehr leicht in Grabenkämpfe zwischen Abteilungen mündet. Leider haben derartige meist unsachliche Konflikte immens negativen Einfluss auf die Umsetzung der InfSec-Politik. Darum nochmals, um unerwünschte Resultate und eine durchgehende Linie zu garantieren: Nur der Leiter eines Unternehmens darf und muss offiziell die InfSec-Policy für alle erkennbar verabschieden und in Kraft setzen! Damit erhält dieses Dokument die Wertigkeit, die sie braucht.
Es ist wahrscheinlich, dass die Firmenspitze die Aufgabe InfSec je nach vorhandener Organisation an eine dezidierte Stelle überträgt. Die personelle Regelung ist wichtiger Bestandteil der InfSec-Policy. Sie dient der beauftragten Abteilung als schriftliche Weisung, Vollmacht und Legitimation. Auf Basis des Dokuments handeln die Sicherheitsbeauftragten sozusagen allzeit auf höchste Anordnung. Aber: Die Delegation kann nur die Ausführung betreffen, sie entbindet die oberste Führung nicht von der Verantwortung für InfSec!
Viele Geschäftsprozesse verlagern sich zunehmend in den EDV-Bereich. In der Praxis werden deshalb vielfach die Aufgaben der InfSec einfacherweise komplett der IKT-Abteilung übertragen. Das ist aber aus drei Gründen nicht zielführend:
1 Die IKT-Abteilung wird nicht immer unbedingt die umfassende Sichtweise der Unternehmensführung widerspiegeln.
2 Eine untergeordnete Stelle hat nicht die Autorität, die sie zur gesamtheitlichen Umsetzung der InfSec-Politik benötigt.
3 Obwohl IKT in der Tat einen großen Teil der InfSec ausmacht, ist eben doch nur ein gewisses Quantum der Sicherheitsaufgaben abgedeckt. Keine Frage, die EDV trägt die Hauptlast bezüglich Verfügbarkeit, Vertraulichkeit und Integrität. Wie wir aber bereits wissen, muss eine gelungene InfSec-Policy zusätzlich sowohl soziale- und technische-, aber auch wirtschaftliche (etwa Geschäftspolitik, Marketing, Vertrieb, Logistik, ...) Aspekte berücksichtigen. Damit geht der Bereich InfSec weit über die Aufgaben der IKT-Stelle hinaus, die ja letztendlich nur als Dienstleister für interne oder externe Auftraggeber agiert.