Das Information Security Management muss durch ein leistungsfähiges Controlling unterstützt werden. Der Beitrag umreißt zunächst das Selbstverständnis eines modernen Controllings im Sinne einer zielorientierten und regelkreisbasierten Steuerung. Die Eigenschaften, die Struktur und die Entwicklung von Kennzahlensystemen werden beschrieben und als das zentrale Controllingwerkzeug eingeführt. Vor diesem Hintergrund werden spezifische Controllingfelder im Information Security Management eingehend diskutiert.
Besondere Aufmerksamkeit wird der Bewertung von Nutzeffekten und Risiken gewidmet. Abschließend werden ausgewählte Kennzahlen des Information Security Managements vorgestellt und ein Kennzahlensystem für diesen Bereich skizziert.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Welche Informationen ein solcher Steckbrief enthalten muss, entnehmen Sie der leeren direkt verwendbaren Vorlage für Ihre selbst entwickelten Kennzahlen. Sie dient Ihnen als Musterformular für die eigene Dokumentation.
So wie Sie einzelne Kennzahlen dokumentieren, so sollten Sie auch jedes Kennzahlensystem durch einen entsprechenden Systemsteckbrief dokumentieren. Welche Informationen ein solcher Steckbrief enthalten muss, entnehmen Sie der beigefügten Arbeitshilfe. Sie dient Ihnen als Musterformular für die eigene Dokumentation.
Die Präsentation des Kennzahlensystems als Ganzes sollte definiert werden, z. B. in Form einer Scorecard oder eines Cockpits. Eine leere direkt verwendbare Vorlage für Ihr selbst entwickeltes Kennzahlensystem im Excel-Format ist als Muster beigefügt.
Die Durchführung einer zweistufigen Nutzwertanalyse erfolgt grundsätzlich in folgenden Schritten:– Auswahl und Festlegung von Bewertungskriterien – unabhängig von und zeitlich vor der eigentlichen Bewertung– Festlegung von Gewichtungsfaktoren für die einzelnen Kriterien, denn die Kriterien werden üblicherweise als unterschiedlich wichtig für eine Entscheidung angesehen – auch dies unabhängig von und zeitlich vor der eigentlichen Bewertung– Festlegung eines Bewertungsmaßstabs – üblicherweise ganzzahlige Werte zwischen 1 und 5, wobei 1 die schlechteste und 5 die beste Bewertung dieses Kriteriums darstellt– Durchführung der eigentlichen Bewertung, z. B. gleichzeitig durch mehrere Experten in Form eines moderierten Workshops Multiplikation der Bewertungen mit den jeweiligen Gewichten– Addition der Ergebnisse über alle Kriterien– Division dieser Summe durch die Summe aller Gewichte: Das Ergebnis ist ein Wert zwischen 1 und 5Die ausgewählten Kriterien können auch gruppiert und als Hierarchie angeordnet werden. Die in der beigefügten Arbeitshilfe angelegte Excel-Tabelle zeigt beispielhaft das Muster eines solchen Bewertungsformulars mit einer zweistufigen Kriterienstruktur. Die Zellen für einzugebende Werte sind gelb hervorgehoben.
Risiken sollten systematisch erfasst, bewertet und dokumentiert werden. Die zentralen Risikoparameter „Schadenshöhe” und „Eintrittswahrscheinlichkeit” verwendet man in der Praxis vielfach nicht (mehr) in der ursprünglichen, wahrscheinlichkeitstheoretisch abgeleiteten Bedeutung, sondern im übertragenen Sinne und bewertet ihre Ausprägung nach einem Punkteschema, z. B. mit (ganzzahligen) Werten von 1 bis 5. Nach einer separaten Bewertung der beiden Parameter werden die Ergebnisse für jedes Risiko multipliziert und führen zu einer Gefährdungskennziffer. Es kann sinnvoll sein, diese Gefährdungskennziffer aufgrund der Gesamtbetrachtung des jeweiligen Risikos noch mit einem Korrekturfaktor zu multiplizieren, um z. B. – wie bereits weiter vorne angesprochen – existenzbedrohende Risiken in der Bewertung zu verstärken. Das führt dann zu einem Risikokataster wie in der beigefügten Vorlage beispielhaft dargestellt. Die vorbereitete Vorlage im Excel-Format können Sie für Ihre eigenen Bewertungen direkt einsetzen.
Auf Basis eines Risikokatasters lassen sich Maßnahmen bewerten und priorisieren. Man wird diejenigen Maßnahmen vorrangig umsetzen, die zu einer möglichst großen Reduktion von Gefährdungskennziffern führen und dazu möglichst wenig Mittel benötigen bzw. Kosten verursachen. Entscheidend ist also nicht der Aufwand für eine Maßnahme, sondern der Aufwand im Verhältnis zum erwarteten Effekt, nämlich einer Verbesserung der Risikolage, die sich in einer Absenkung der ermittelten Gefährdungskennziffern äußert. Eine Vorlage zur Ermittlung der Nutzeffekte von Maßnahmen finden Sie beigefügt als Arbeitshilfe im Excel-Format.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Anteil ISM-Kosten" beschreibt das Verhältnis der ISM-Kosten zu den IT-Gesamtkosten.
Die Aussagen über eine angemessene Höhe der Security-Kosten schwanken. IT-Verantwortliche nennen hier Größenordnungen von etwa 2 % bis 15 %. Geht man von der Norm ISO/IEC 27002 aus, so müssen eigentlich sämtliche IT-Kosten als Security-Kosten bezeichnet werden, denn Aufgabe der IT ist es ja, die Verfügbarkeit, Integrität und Vertrauenswürdigkeit von Daten sicherzustellen. Daher sollte man sich auf die Kosten für das Information Security Management beschränken (ähnlich wie im Qualitätsmanagement). Einen pragmatischen Ansatz dazu liefert ein vom National Institute of Standards and Technology (NIST) der USA für die Bewertung von Information Security entwickelter Rahmen mit insgesamt 17 Kategorien. Diese Kategorien sind in der beigefügten Vorlage zur Ermittlung der einzelnen Posten angeführt.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „RoSI " beschreibt das Verhältnis des Nutzen einer Security-Maßnahme in Euro zu den Kosten einer Security-Maßnahme in Euro.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Auffälligkeitsrate" beschreibt die Anzahl registrierter Auffälligkeiten pro Tag.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Umfang externe Datenkommunikation" beschreibt die Anzahl definierter Datenkommunikationsaktivitäten mit externen Stellen pro Tag.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Umfang interne Datenkommunikation" beschreibt die Anzahl definierter Datenkommunikationsaktivitäten zwischen internen Stellen pro Tag.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Anteil security-relevanter Incidents" beschreibt das Verhältnis der Anzahl security-relevanter Incidents zu der Gesamtanzahl aller Incidents.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Risikoindex" beschreibt die Summe der Gefährdungskennziffern aller im Risikokataster erfassten Risiken.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Risikoindex in Security-Audits" beschreibt die Summe der Gefährdungskennziffern aller in Security-Audits erfassten Risiken.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Anzahl überfälliger Security-Maßnahmen" beschreibt die Anzahl von Security-Maßnahmen, die im Berichtszeitraum planmäßig abgeschlossen werden sollten, aber noch nicht abgeschlossen sind.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Anzahl unspezifischer Benutzerkennung" beschreibt Benutzerkennungen, die nicht natürlichen Personen zugeordnet werden können (z. B. ADMIN).
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Unscheduled Downtime (Anzahl)" beschreibt die Anzahl ungeplanter Systemausfälle pro Monat.
Kennzahlen sollten eine Dokumentation erhalten, in der alle zum Verständnis und zur Nutzung der Kennzahl wichtigen Informationen zentral festgehalten werden. Eine solche Dokumentation für eine Kennzahl wird als Kennzahlensteckbrief bezeichnet. Der Steckbrief „Unscheduled Downtime (Dauer)" beschreibt die Gesamtdauer in Minuten aller ungeplanten Systemausfälle pro Monat.
Die Präsentation des Kennzahlensystems als Ganzes sollte definiert werden, z. B. in Form einer Scorecard oder eines Cockpits. Als Beispiel haben wir für Sie das im Beitrag „Controlling der Information Security” vorgestellte Kennzahlensystem „Information Security Management” im Excel-Format als Muster-Kennzahlensystem aufbereitet und als Muster beigefügt.
So wie Sie einzelne Kennzahlen dokumentieren, so sollten Sie auch jedes Kennzahlensystem durch einen entsprechenden Systemsteckbrief dokumentieren. Welche Informationen ein solcher Steckbrief enthalten muss, entnehmen Sie der beigefügten Arbeitshilfe. Als Beispiel haben wir für Sie das im Beitrag „Controlling der Information Security” vorgestellte Kennzahlensystem „Information Security Management” im Word-Format als Kennzahlensystem-Steckbrief aufbereitet und als Muster beigefügt.
Dipl.-Math., Dr. rer. nat., Professor für Wirtschaftsinformatik an der Hochschule Anhalt, Fachberater für IT- und Shared-Services-Controlling, Geschäftsführer TESYCON GMBH, Köthen (Anhalt).
Zielorientierte Steuerung Grundlage des modernen Controllingverständnisses ist der Begriff der zielorientierten Steuerung. Gesteuert werden Systeme, Organisationen, Prozesse, Projekte usw. In der Steuerung arbeiten Management und Controlling partnerschaftlich zusammen. Beide übernehmen spezifische, sich gegenseitig ergänzende Rollen.
Management/Controlling Der Manager ist für „sein” System verantwortlich. Er muss das System in das definierte Ziel führen. Der Controller ist Experte für die benötigten Managementsysteme. Er gestaltet Planungs-, Steuerungs- und Kontrollprozesse sowie die entsprechenden Kennzahlen- und Berichtssysteme und passt sie optimal an die jeweilige Steuerungsaufgabe an. Er stellt sicher, dass die Managementsysteme und -prozesse mit den erforderlichen Daten versorgt werden (vgl. [1]
1
Kütz, Martin: IT-Controlling für die Praxis; dpunkt-Verlag, 2005, ISBN 3-89864-265-8
).
Entscheidungs-/Transparenzverantwortung Während der Manager Entscheidungsverantwortung trägt, übernimmt der Controller die Verantwortung dafür, dass der Manager diejenigen Informationen erhält, die er benötigt, um „richtige” Entscheidungen zu treffen. Der Controller hat Transparenzverantwortung. Bildhaft stellt man die Zusammenarbeit der beiden Rollen vielfach durch Kapitän (= Management) und Lotsen bzw. Navigatoren (= Controlling) dar (vgl. [1]
1
Kütz, Martin: IT-Controlling für die Praxis; dpunkt-Verlag, 2005, ISBN 3-89864-265-8
).
Dieses Controllingverständnis hat sich auch in der Informationstechnologie (IT) durchgesetzt und gilt daher ebenso im Bereich des Information Security Managements.
Weiterlesen und den „Information Security Management“ 4 Wochen gratis testen:
Das komplette Know-how in Sachen Informationssicherheit und Datenschutz
Zugriff auf über 230 Fachbeiträge und 210 Arbeitshilfen
Um unser Produkt für Sie und uns erfolgreich zu gestalten und Ihnen darin ein optimales Arbeitserlebnis anbieten zu können, verwenden wir Cookies.
Neben den für einen einwandfreien Betrieb technisch notwendigen Cookies erheben wir Daten zur statistischen Auswertung, um das Produkt kontinuierlich zu optimieren. Dafür bitten wir um Ihr Einverständnis.
