Security Boards - Aufbau, Funktionsweise und Nutzen

Security Boards

Aufbau, Funktionsweise und Nutzen

Flavio Gerbino
von Flavio Gerbino
am 15. September 2016
Lesezeit: 7 Minuten

Keypoints

  • Qualitative Stärkung der Informationssicherheit rückt in Vordergrund
  • Systematische Verankerung der Informationssicherheit in Geschäftsprozessen
  • Vereinheitlichung der Informationssicherheit, der Vorgehensweisen und Methoden
  • Risikoadjustierte Zuweisung von Ressourcen
  • Optimale Aufgabenlösung durch Austausch von Wissen und gegenseitige Ergänzung
  • Berücksichtigung von Management-, Fach-, und Nutzerakzeptanz und Geschäftserfordernisse durch Mitwirkung diverser Interessensvertreter
  • Sicherstellen des Strategic Alignment

Die Themen der Informationssicherheit sind vielfältig, komplex und zunehmend fragmentiert. Die entsprechenden gesetzlichen und regulatorischen Entwicklungen und Rahmenbedingungen erst recht. Darüber hinaus überschlagen sich kurzfristige Trends und Hypes der IT, Kommunikationstechnik, Informationssicherheit förmlich (Cybersecurity, Blockchain, APTs, Cloudification, Big Data etc.), so dass es von grösster strategischer Bedeutung ist, alle Aspekte, welche die Sicherheit eines Unternehmens betreffen und tangieren, koordiniert zu beurteilen.

Die finanziellen Möglichkeiten von Unternehmen erfordern darüber hinaus auch, dass Manager und Entscheider ihre Investitionen mit Bedacht tätigen. D.h. dass sie sich nicht durchsetzende Trends erkennen und in andere Technologien und Sicherheitsinnovationen erst dann investieren, wenn diese einen adäquaten Reifegrad für eine operativen Nutzung aufweisen.

Damit es nun gelingen kann mit allen diesen Anforderungen und Entwicklungen Schritt zu halten, sind kontinuierlich zielgerichtete Initiativen in den Aufbau und die Weiterentwicklung der Informationssicherheit erforderlich. Diese können im Unternehmen mit einem Security Board erfasst, diskutiert, koordiniert und entschieden werden.

Ein Security Board ist ein Gremium, welches als Steuerungsinstrument interdisziplinäre und übergreifende Sicherheitsfragen und Themen erkennt, diskutiert, koordiniert, behandelt und beschliesst.

Wodurch zeichnen sich sichere Unternehmen aus

Die Kompetenz von sicheren Unternehmen, analysiert man deren Implementation der IT und der Sicherheit, basiert darauf, dass:

Ein Security Board ist das geeignete Instrument, um genau diese Voraussetzungen in einem Unternehmen zu schaffen.

Das Security Board dient als Drehscheibe, welche die facettenreichen internen und vagen externen Anforderungen, Themen und Herausforderungen der Sicherheit, sowie die vorhandenen Kompetenzen und Funktionen der IT aufeinander abstimmt. Dadurch entsteht eine Balance, welche durch koordinierte Beschlüsse einen entscheidenden Impuls für eine koordinierte Stossrichtung in punkto Informationssicherheit ermöglicht. Das Security Board gibt als Bezugsrahmen klare Strukturen vor und übernimmt so auch die Rolle der zentralen Koordinationsstelle sowie eines Vermittlers für mehr und breiter abgestützten Common Sense in der Informationssicherheit.

Charakteristik

Um ein funktionierendes Security Board im Unternehmen aufzubauen und etablieren muss man sich über die folgenden Punkte des Boards Gedanken machen:

Hauptaufgaben und Eigenschaften des Boards

Organisatorische Aspekte

Teilnahme und Führung des Security Boards

Das Security Board ist der Grösse, Komplexität und dem Risikoprofil des Unternehmens entsprechend aufzustellen und muss dahingehend ausreichend dotiert sein, um über die nötigen Fachkompetenzen und Sachmittel zu verfügen, damit es sein Mandat effizient und vollumfänglich erfüllen kann. Die Mitglieder des Security Boards sollten offiziell nominiert werden und für jedes Mitglied bedarf es einer qualifizierten Stellvertretung. Bedarfsweise werden weitere Fachbereiche, Experten, Projektverantwortliche, externe Berater etc. aufgeboten.

Der Vorsitzende sollte aus dem höheren Management im Kontext der Informationssicherheit oder des Risikomanagements stammen. Typischerweise eignet sich der CISO für diese Aufgabe. Der Security Board Vorsitzende ist nicht nur Sitzungsleiter sondern auch aktives Mitglied des Gremiums, der nebst der korrekten Abwicklung des Security Boards, auch noch seine eigene Interessen und Aufgaben wahrnimmt, Strategien und Ziele verfolgt und auch seine subjektiven Verpflichtungen gegenüber dem Wohl des Ganzen in das Gremium einbringt. Er muss also als Diskussionsleiter, mit Sachverstand und Empathie, einerseits für eine korrekte Abwicklung der Sitzung und andererseits für eine gedanklich gutgegliederte und fruchtbare Diskussion und Verhandlung sorgen.

Aufgaben im Kontext der Governance

Das Security Board übernimmt in diesem Kontext die Praxisübersetzung für die interdisziplinären und themenbezogenen Anforderungen und macht daraus verständliche Ausführungsbestimmungen und praktikable Massnahmen. Es wird aber auch festgelegt, welche Themengebiete des Informationssicherheits- und Risikomanagements geregelt werden müssen und wie die Rollen und Verantwortlichkeiten in der Anwendung der geregelten Gebiete aussehen. Dazu zählen:

Fazit

Das Security Board kann durch seine interdisziplinäre Arbeitsweise ein breites Spektrum an essentiellen Sicherheits- und Risikoaufgaben erfüllen bzw. sicherstellen. Mit der effizienten Nutzung vorhandener Synergien können übergeordnete Unternehmensziele in puncto Sicherheit erreicht werden.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Sie brauchen professionelles Vulnerability Management?

Unsere Spezialisten kontaktieren Sie gern!

×
Crypto-Malware

Crypto-Malware

Ahmet Hrnjadovic

TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv