Die Themen der Informationssicherheit sind vielfältig, komplex und zunehmend fragmentiert. Die entsprechenden gesetzlichen und regulatorischen Entwicklungen und Rahmenbedingungen erst recht. Darüber hinaus überschlagen sich kurzfristige Trends und Hypes der IT, Kommunikationstechnik, Informationssicherheit förmlich (Cybersecurity, Blockchain, APTs, Cloudification, Big Data etc.), so dass es von grösster strategischer Bedeutung ist, alle Aspekte, welche die Sicherheit eines Unternehmens betreffen und tangieren, koordiniert zu beurteilen.

Die finanziellen Möglichkeiten von Unternehmen erfordern darüber hinaus auch, dass Manager und Entscheider ihre Investitionen mit Bedacht tätigen. D.h. dass sie sich nicht durchsetzende Trends erkennen und in andere Technologien und Sicherheitsinnovationen erst dann investieren, wenn diese einen adäquaten Reifegrad für eine operativen Nutzung aufweisen.

Damit es nun gelingen kann mit allen diesen Anforderungen und Entwicklungen Schritt zu halten, sind kontinuierlich zielgerichtete Initiativen in den Aufbau und die Weiterentwicklung der Informationssicherheit erforderlich. Diese können im Unternehmen mit einem Security Board erfasst, diskutiert, koordiniert und entschieden werden.

Ein Security Board ist ein Gremium, welches als Steuerungsinstrument interdisziplinäre und übergreifende Sicherheitsfragen und Themen erkennt, diskutiert, koordiniert, behandelt und beschliesst.

Wodurch zeichnen sich sichere Unternehmen aus

Die Kompetenz von sicheren Unternehmen, analysiert man deren Implementation der IT und der Sicherheit, basiert darauf, dass:

• die Sicherheitsziele auf die IT-Strategie und diese auf die Unternehmensstrategie ausgerichtet ist;
• Organisationsstrukturen entwickelt wurden, die die solide Umsetzung der Sicherheit und ihrer Ziele ermöglichen;
• eine Leitkultur mit konstruktiven Beziehungen und einer effektiven Kommunikation zwischen der Sicherheit der IT und den entsprechenden Fachbereichen geschaffen wurde.

Ein Security Board ist das geeignete Instrument, um genau diese Voraussetzungen in einem Unternehmen zu schaffen.

Das Security Board dient als Drehscheibe, welche die facettenreichen internen und vagen externen Anforderungen, Themen und Herausforderungen der Sicherheit, sowie die vorhandenen Kompetenzen und Funktionen der IT aufeinander abstimmt. Dadurch entsteht eine Balance, welche durch koordinierte Beschlüsse einen entscheidenden Impuls für eine koordinierte Stossrichtung in punkto Informationssicherheit ermöglicht. Das Security Board gibt als Bezugsrahmen klare Strukturen vor und übernimmt so auch die Rolle der zentralen Koordinationsstelle sowie eines Vermittlers für mehr und breiter abgestützten Common Sense in der Informationssicherheit.

Charakteristik

Um ein funktionierendes Security Board im Unternehmen aufzubauen und etablieren muss man sich über die folgenden Punkte des Boards Gedanken machen:

• Strukturellen Eigenschaften
• Organisatorische und administrative Abläufe

Hauptaufgaben und Eigenschaften des Boards

• Erarbeitung der wesentlichen Entscheidungsgrundlagen für die Wahrnehmung der Verantwortung bezüglich Informationssicherheit- und IT Risiken innerhalb des Unternehmens.
• Ausrichtung der Sicherheit auf die IT sowie deren Kerngeschäfte und Schutzanforderungen.
• Identifikation von Trends und Entwicklungen der IT und der Sicherheit (nicht nur technisch)
• Drehscheibe für alle Sicherheitsaspekte inkl. Kommunikation und Information.
• Integration aller massgeblich Verantwortlichen in die Entscheidungsprozesse der Sicherheit.
• Das Security Board kann auch bei der Betreuung und Aufarbeitung von Sicherheitsvorfällen (Virenbefall, IT Ausfall, Emergency-Patches, Vulnerabilities und anderen Sicherheitsereignissen) als Krisengremium einberufen werden.
• Sicherheit basiert auch darauf, dass durch das Security Board abgestimmte Vorgehensweisen entwickelt werden, die die Umsetzung der Sicherheit und ihrer Ziele ermöglichen, dass eine konstruktive Beziehung und eine effektive Kommunikation zwischen der Sicherheit der IT sowie anderen Fachbereichen geschaffen wird.
• Allgemeine Stärkung der Kohäsion innerhalb des Unternehmens bzgl. Sicherheitsawareness, erzeugen von Synergieeffekten, Minimierung von Fehlentscheidungen und qualitative Stärkung der IT-Sicherheit.
• Die Arbeit des Security Boards macht die Anstrengungen in punkto Sicherheit sichtbar.
• Das Management erhält so einen Leistungsnachweis über die Angemessenheit der Sicherheit.

Organisatorische Aspekte

• Da wäre zum einen der Sitzungsfahrplan, der die Periodizität der Meetings/Tagungen festlegt.
• Dann muss berücksichtigt werden, unter welchen Bedingungen, durch wen und wann ein ausserordentliches Security Board Meeting einberufen werden kann.
• Die Tagesordnung bzw. die Traktanden müssen definiert werden. Die Auswahl der Themen ergibt sich einerseits aus einer Road Map, Projekten, Vorhaben, Initiativen, aktuellen Sicherheitsentwicklungen innerhalb und ausserhalb des Unternehmens, sowie aus Sicherheitsbetrachtungen aus dem Daily Business der diversen Teams. Den Mitgliedern des Security Boards sollte es frei stehen, für sie wichtige Sicherheitsthemen vorzuschlagen, die traktandiert werden sollen.
• Es sollte klar vereinbart werden, wie die Beschlussfähigkeit zustande kommt inkl. Vorgehen und Eskalationsprozeduren bei Uneinigkeit. Wichtig ist dabei vorallem, dass Entscheidungen nach Aussen hin einig vertreten werden. Innerhalb des Gremiums können Entscheidungen z.B. nach dem Konsens- oder Mehrheitsprinzip getroffen werden.
  • Entscheidungen werden beim Konsensprinzip ohne Gegenstimme getroffen. Alle Mitglieder müssen einverstanden sein, oder bereit sein, ihre abweichende Meinung, bzw. ihre Bedenken gegen die zu treffende Entscheidung zugunsten der Sache aufzugeben oder zurückzustellen.
  • Kommt es mittels Konsensprinzip zu keiner Entscheidung, kann in einer Sache mittels Mehrheit abgestimmt werden. Bei der Beschlussfassung entscheidet man sich für den Vorschlag, der die meisten Stimmen erhält. Kommet es dennoch zu keiner Entscheidung innert nützlicher Frist, können dem Vorsitzenden des Security Board eine sog. Jokerstimme bzw. Vetorecht eingeräumt werden, um bei Parität eine Mehrheit zu erzielen. Das Top Management ist bei anhaltender Beschlussunfähigkeit die finale Eskalationsstufe.
• Das Security Board muss festlegen, wie es die Anforderungen bezüglich Berichterstattung, Reporting und Protokollierung erfüllen will: Während die Berichterstattung und das Reporting quasi die Kommunikation des Security Boards nach Aussen darstellen und die wesentlichen Schlussfolgerungen der Arbeit der Geschäftsführung und dem erweiterten Kreis von Stakeholdern und Peers vorgelegt werden, geht es bei der Protokollierung um die Kommunikation nach Innen. Das Protokoll dokumentiert getroffene Aussagen, Ergebnisse sowie Vereinbarungen und illustriert den Diskussionsverlauf. Der Verlauf der Sitzung als chronologische Aufzeichnung der gesammelten Argumente, Thesen und Kontroversen mit dem Ziel ein lückenloses Bild vom Gegenstand und Diskussion einer Sitzung zu geben. Sachliche und objektive Schilderung der Ergebnisse der Versammlung: Alle erzielten Ergebnisse, Entscheidungen, die Festlegung des Weiteren Vorgehens, offene Punkte, Status von Themen, Termine, und die Zuweisung von Aufgaben müssen darin zu finden sein. Bei Abschluss der Sitzung muss allen klar sein, wie die vereinbarten Aufgaben tatsächlich zu erledigen sind.

Teilnahme und Führung des Security Boards

Das Security Board ist der Grösse, Komplexität und dem Risikoprofil des Unternehmens entsprechend aufzustellen und muss dahingehend ausreichend dotiert sein, um über die nötigen Fachkompetenzen und Sachmittel zu verfügen, damit es sein Mandat effizient und vollumfänglich erfüllen kann. Die Mitglieder des Security Boards sollten offiziell nominiert werden und für jedes Mitglied bedarf es einer qualifizierten Stellvertretung. Bedarfsweise werden weitere Fachbereiche, Experten, Projektverantwortliche, externe Berater etc. aufgeboten.

Der Vorsitzende sollte aus dem höheren Management im Kontext der Informationssicherheit oder des Risikomanagements stammen. Typischerweise eignet sich der CISO für diese Aufgabe. Der Security Board Vorsitzende ist nicht nur Sitzungsleiter sondern auch aktives Mitglied des Gremiums, der nebst der korrekten Abwicklung des Security Boards, auch noch seine eigene Interessen und Aufgaben wahrnimmt, Strategien und Ziele verfolgt und auch seine subjektiven Verpflichtungen gegenüber dem Wohl des Ganzen in das Gremium einbringt. Er muss also als Diskussionsleiter, mit Sachverstand und Empathie, einerseits für eine korrekte Abwicklung der Sitzung und andererseits für eine gedanklich gutgegliederte und fruchtbare Diskussion und Verhandlung sorgen.

Aufgaben im Kontext der Governance

Das Security Board übernimmt in diesem Kontext die Praxisübersetzung für die interdisziplinären und themenbezogenen Anforderungen und macht daraus verständliche Ausführungsbestimmungen und praktikable Massnahmen. Es wird aber auch festgelegt, welche Themengebiete des Informationssicherheits- und Risikomanagements geregelt werden müssen und wie die Rollen und Verantwortlichkeiten in der Anwendung der geregelten Gebiete aussehen. Dazu zählen:

• Sicherstellen, dass gesetzliche Anforderungen und vertragliche Vorgaben eingehalten werden
• Vermeiden von Problemen in der IT, die den Wert und das Image des Unternehmens beeinträchtigen (schädigen)
• Sicherstellen, dass die IT in punkto Sicherheit unterstützt wird und es ermöglicht wird, die Unternehmensziele zu erreichen
• Managen der Risiken
• Sicherstellen des Aufbaus von Wissen durch die IT und die Sicherheit, als auch dessen nachhaltige Wahrung
• Identifikation von Trends und Entwicklungen, sowie Früherkennung von Gesetzesänderungen und Anpassungen des regulatorischen Umfeldes

Fazit

Das Security Board kann durch seine interdisziplinäre Arbeitsweise ein breites Spektrum an essentiellen Sicherheits- und Risikoaufgaben erfüllen bzw. sicherstellen. Mit der effizienten Nutzung vorhandener Synergien können übergeordnete Unternehmensziele in puncto Sicherheit erreicht werden.

Über den Autor

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

• https://vuldb.com/de/