Corporate-, IT- und Security Governance - Die Grundlagen

Corporate-, IT- und Security Governance

Die Grundlagen

Flavio Gerbino
von Flavio Gerbino
am 06. April 2017
Lesezeit: 10 Minuten

Wer Governance sagt, spricht ein mächtiges Wort gelassen aus. Auf der Ebene der Unternehmensführung hat sich der Begriff schon längst etabliert. Im Kontext von Krisen und Krisenmanagement werden unter dem Oberbegriff Governance bereits seit den 90er Jahren des letzten Jahrhunderts Prinzipien einer verantwortungsvollen, auf langfristige Wertschöpfung ausgerichteten Unternehmensführung und Kontrolle diskutiert. Diese anhaltende Debatte um die Grundprinzipien nachhaltigen Wirtschaftens, die in den USA ihren Beginn nahm und meist nach Unternehmensinsolvenzen in grossem Stil besonders intensiv geführt wurde, ist zu einer Modedebatte geworden (Man denke auch an die Wirtschafts- und Finanzkrise ab 2008). Doch Governance ist nach wie vor ein Modewort. Trotz allem ist leider bis heute nicht wirklich klar, welche Aspekte unter dem Hauptthemen Governance, IT Governance und Security Governance eigentlich subsumiert werden sollten. Ähnliches gilt für die in diesem Kontext immer wieder zu vernehmenden Meldungen zu den Themen Risk Management, Compliance und Informationssicherheit.

Für ein systematisches und gut integriertes Governance-, Risk-, Compliance- und Security-Management zählen folgende Faktoren:

Alle diese Faktoren werden nun im Sinne eines wirksamen Steuerungs- und Regelungssystems kapitalmarktorientierter Unternehmen adressiert und stehen als Leitmotive im Mittelpunkt einer verantwortungsvollen, transparenten, effizienten und sicheren Unternehmensführung und unterteilen sich in diese verwandte Teilbereiche:

Die elementarsten Grundprinzipien sind dabei vereinfacht gesagt

Begriffe mit vielen Gesichtern

Governance ist also im Allgemeinen ein Begriff, der je nach thematischem Hintergrund und fachlicher Disziplin einem anderen Verständnis unterliegen kann. Um die Bedeutung der Governance aus Sicht der Informationssicherheit besser verstehen zu können, sollte man sich die vielen Facetten der Corporate Governance, IT-Governance und Security Governance vorgegenwärtigen:

Governance

Auf abstraktester Ebene könnte man sagen, dass Governance die verantwortungsvolle, nachhaltige und auf langfristige Wertschöpfung gerichtete Organisation und Steuerung von Aktivitäten und damit das gesamte System interner und externer Leistungs-, Kontroll- und Überwachungsmechanismen umfasst.

IT-Governance

In Bezug auf die IT-Governance wird eine breit akzeptierte Begriffsbestimmung schon schwieriger, da man leider nicht feststellen kann, ob sich eine einheitliche Definition etabliert hätte. Allerdings lässt sich eine Tendenz zu einem gemeinsamen Begriffsverständnis feststellen, welche sich durch folgende Eigenschaften charakterisieren:

Daraus könnte man nun auch ein gemeinsames Grundverständnis für IT Governance ableiten, welche die Organisation, Steuerung und Kontrolle der IT eines Unternehmens zur konsequenten Ausrichtung der IT-Prozesse an der Unternehmensstrategie umfasst. Letztendlich soll die IT analog zur Governance des Unternehmens in ein einheitliches Framework eingebunden sein, das sich am Geschäftszweck des Unternehmens orientiert und Leitlinien und Standards setzt.

Security Governance

Was bedeutet dies nun für die Informationssicherheit und die notwendige Security Governance?

Am schnellsten lässt sich die Security Governance anhand der Informationssichetheitsziele ableiten; oder was trägt die Security Governance zur Informationssicherheit bei? (Quelle: IT Governance Institute (ITGI) -ISACA):

Die Security Governance orientiert sich also direkt an der Informationssicherheits-Strategie des Unternehmens und schafft damit die Grundlage, die Aktivitäten im Bereich der Informationssicherheit zu steuern. Erst dadurch wird eine effektive und effiziente Umsetzung der Anforderungen im Bereich der Informationssicherheit möglich, welche die Prozesse des Unternehmens voll unterstützt.

Letztlich ist es daher die Aufgabe der Information Security Governance, im Rahmen der Steuerung nicht nur die Verlässlichkeit der Informationstechnik (unter Beachtung der Vorgaben des Information Security Management), sondern eben auch die Beherrschbarkeit der Informationstechnik per se sicherzustellen.

Security Governance ist demnach ein Satz an klaren Verantwortlichkeiten, Praktiken, Prinzipien, die vom CISO und dem Management eingesetzt werden, um die strategischen Ziele vorzugeben. Damit soll sichergestellt werden, dass die Zielvorgaben auch von der Informationssicherheit sinnvoll erreicht werden. Weiterhin soll sichergestellt werden, dass Risiken angemessen gehandhabt und die Ressourcen eines Unternehmens verantwortungsvoll eingesetzt werden.

CISO prägt effiziente Security Governance

In erster Linie müssen die Überlappungen der Corporate-, IT- und Security- Governance und die Schnittstellen zum Thema Risk-, Compliance- und Informationssicherheitsmanagement klar erkannt, abgegrenzt und strukturiert werden, so dass daraus ein Big-Picture entsteht, welches für die Unternehmensleitung, den CIO und CISO auf kollektivem Verständnis fusst.

Der CISO nimmt bei der Ausgestaltung der Security Governance eine Schlüsselrolle ein. Sein Steuerungsinstrument ist das Security Board, welches es ihm ermöglicht, die Informationssicherheit organisationsweit effektiv aufzubauen. Der Manager der Informationssicherheit (CISO) treibt seinen Sicherheits-Prozess voran und ist für Folgendes verantwortlich (Quelle: IT Governance Institute (ITGI)):

Dabei sollte sich der CISO auch folgende High-Level Fragen stellen:

Der CISO sollte auch das Geschäftsmodell des Unternehmens hinsichtlich der Konsequenzen für die IT und die Informationssicherheit beurteilen können:

Der CISO muss die Governance des Unternehmens hell beleuchten:

Fazit

Die Security Governance umfasst im Sinne des Informationssicherheitsmanagements die Rolle der Führung von Gestaltungsprozessen und zielt darauf ab, die Stimmigkeit zwischen der Unternehmenskultur, den Organisationsprinzipien und der tatsächlichen Organisationsstruktur im Unternehmen, sowie den spezifischen Chancen und Fachlichen Themen, welche die IT und Informationssicherheit für die Bewältigung der Marktanforderungen in der Branche benötigt, herzustellen.

Daraus ergeben sich folgende Vorteile:

Vor allem stark regulierte Branchen, die auf den ersten Blick noch nicht erkennen, warum die Vielzahl neuer Regulierungen und strenger Anforderungen eine positive Erfolgswirkung für Unternehmen haben sollte, müssen sich mit der Schaffung effizienter Governance Strukturen auseinandersetzen. Denn die einzuführenden Mechanismen und einzuhaltenden Standards verursachen zwar Kosten. Doch wer die Mühe einer systematischer Ausarbeitung einer darauf abgestimmten Governance macht, offenbart sich auf den zweiten Blick die langfristige, wertorientierte Perspektive eines Security Governance Managements deutlich.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Crypto-Malware

Crypto-Malware

Ahmet Hrnjadovic

TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv