Security Testing
Tomaso Vasella
Verbesserte Positionierung einer Sicherheitsorganisation im Unternehmen
Definition einer Strategie
time to read: 20 minutes
Abgeleitet von einer Geschäftsvision, wollen sich Sicherheitsorganisationen in mittleren und grösseren global orientierten Unternehmen heute als kompetente, innovative und kostenbewusste Dienstleister verstehen. Das zuverlässige und effiziente Erbringen von qualitativ hochstehenden Sicherheits-Services, welche Fragestellungen von technischen, organisatorischen, rechtlichen, konzeptionellen, physischen und psychologisch-personellen, Sicherheitsaspekten behandeln, würde die Kernkompetenz der Sicherheitsorganisation darstellen.
Die Sicherheit wird darin derart gewünscht, dass ein Wachstum und die Wettbewerbsfähigkeit des Unternehmens bei konstanter Verfügbarkeit, Vertraulichkeit und Integrität gewährleistet wird.
So viel zum Idealbild jedenfalls. Und das Wunschdenken geht noch weiter, denn darüber hinaus betreibt die Sicherheitsorganisation natürlich ein Sicherheits-Risiko-Management-System in Zusammenarbeit mit den operativ agierenden Mitarbeitenden, welche in den Bereichen, Abteilungen, Gruppen und Teams die erforderlichen Sicherheitsmassnahmen umsetzen. etc. pp.
Auch allfällig erforderliche Kostensenkungen sollen durch Automatisierungen der standardisierten Sicherheitsprozesse, durch sinnvolle Innovationen, durch das Nutzen der Synergien und durch eine bedürfnisgerechte, modularisierte Standardisierung erreichbar werden.
Doch wie kann sich nun eine Sicherheitsorganisation in einem Unternehmen so positionieren, dass sie dieser beschriebenen Projektion aus dem Idealbilddenken des Managaments annähern kann? Dazu bedarf es einer genaueren Analyse und diverser Massnahmen, über die im Folgenden Artikel ansatzweise nachgedacht werden soll.
Voraussetzungen
Um dem Idealbild einen Schritt näher zu rücken, bedarf es ehrlich gemeinter Selbstanalye und -erkenntnis. D.h. es ist unumgänglich, sich auch mit unangenehmen Themen und Schwächen der gegenwärtigen Organisation auseinanderzusetzen und klar zu formulieren, worin die Probleme zu finden sind.
In der folgenden Auflistung sind als Anhaltspunkt ein paar typische Schwächen von Sicherheitsorganisationen abgebildet, wie man sie typischerweise in mittleren und vor allem grösseren globalen Unternehmen gern findet.
In erster Linie ist es natürlich essentiell, dass das Selbstverständnis einer Sicherheitsorganisation eine hohe Übereinstimmung mit den Visionen und der Strategie des Gesamtunternehmens aufweist. In diesem Vergleich ergeben sich die typischen Schwächen.
Typische Findings
| Trennung von Visionen und Aktivitäten |
|---|
| Es lässt sich in Unternehmen gern feststellen, das zahlreiche Sicherheitsaktivitäten nicht deutlich auf Visionen, Strategien oder Zielsetzungen des Unternehmens zurückzuführen sind. Vielmehr werden Sicherheitsmassnahmen unreflektiert und losgelöst von aktuellen übergeordneten Vorgaben durchgeführt, ganz nach dem Motto: Man macht dies, weil man es schon immer so gemacht hat! So werden beispielsweise haufenweise Ausnahmebewilligungen nach einem ganz bestimmten Schema formal absolut korrekt erteilt, ohne sich aber Gedanken zu machen, ob die Regel sinnvoll ist, wenn so viele Ausnahmen erteilt werden müssen. Solche Aktivitäten binden Ressourcen, stellen den Formalismus vor die Sache und lenken so von den eigentlich erforderlichen Tätigkeiten im Sinne des Unternehmens ab. Die strategischen Sicherheitsmassnahmen sind auf die Unternehmensvisionen, -strategien und -ziele ganz konkret auszurichten resp. davon abzuleiten. Die bestehenden Aktivitäten sind diesbezüglich zu überprüfen und allenfalls neu auszurichten. |
| Sicherheitsorganisation & divergierende Sicherheitskulturen (eher bei grösseren Unternehmen häufig anzutreffen) |
|---|
| Eine konzernweite Sicherheitsorganisation ist strukturell und kulturell meist nicht erkennbar. Die Sicherheitsorganisation ist oft dezentral bzw. isoliert strukturiert. Es existieren zum Teil mehrere Sicherheitskulturen nebeneinander. Dies ist besonders bei grösseren Unternehmen mit einer bewegten Geschichte, die auch Merger und Akquisitionen auf globaler Ebene miterlebt haben soweit ausgeprägt, dass die Sicherheitsstrukturen der früher eigenständigen Firmen beim Zusammenschluss zum heutigen Konzern mehr oder weniger nebeneinander gestellt wurden. Eine Weiterentwicklung der Sicherheitsorganisation (strukturell, prozessual, kulturell) resp. eine Anpassung an die Anforderungen des heutigen Konzerns ist nicht vollzogen worden. Eine effiziente, unternehmensweite Umsetzung der Sicherheitsziele in einer noch stark von den einzelnen nebeneinander lebenden Sicherheitsorganisationen oder Teams geprägten Sicherheitskultur ist in dieser Art nicht möglich. Entsprechend kann sich keine unternehmensweite Sicherheitskultur etablieren. Zudem können in einem solch heterogenen System wenig bis keine Synergien genutzt werden. Firmen, bei denen die Sicherheitsorganisation eine effiziente Positionierung einnimmt, zeichnen sich klar durch eine Sicherheitsorganisation mit einer starken Führung, einem etablierten CSO und einer Sicherheitskultur aus. |
| Punktuelles konzernweites Security Management Framework |
|---|
| Alle reden zwar von einem Sicherheits-Management-System, de facto ist aber oftmals kein systematisches, unternehmensweites erkennbar. In den verschiedenen Bereichen wird zwar meist die Sicherheit isoliert, teilweise in enger Anlehnung an verschiedene Standards nach unterschiedlichen Methoden geführt. Auf Konzernstufe wird auch in verschiedenen Dokumenten auf ein Informations-Sicherheits-Management-Systems ISMS nach ISO 27001 verwiesen, die einzelnen Elemente und Charakteristika fehlen jedoch weitgehend. Das Fehlen eines unternehmensweiten Sicherheits-Managements-Systems führt zu Ineffizienz, Doppelspurigkeiten, Nichtkompatibilitäten. Jede dezentrale Stelle erfindet das Rad wieder neu. Das aus den einzelnen Management-Systemen erhaltene Steuerungswissen kann nur schwerlich in ein Ganzes übergeführt werden. |
| Monitoring / Reporting in Fragmenten |
|---|
| Es ist immer wieder festzustellen, dass keine konzernweite Übersicht bezüglich des Sicherheitszustands der Unternehmung vorhanden ist. Ein mit den Bedürfnissen des Managements und der einzelnen Businessownern kohärentes Monitoring mit entsprechendem Reporting im ganzheitlichen Sicherheitsumfeld fehlt weitgehend. Vielmehr werden zahlreiche Überwachungen, Auswertungen usw. sporadisch und relativ isoliert vorgenommen und einzelne Vorkommnisse und Sicherheitsrisiken situativ ans Management eskaliert. Ein fehlendes konzernweites Monitoring im Sicherheitsbereich verbunden mit einem fehlenden, zeitgerechten Reporting verunmöglicht den Verantwortungsträgern, das Unternehmen entsprechend den gesetzten Zielen steuern zu können. In der heute schnelllebigen Zeit sind die Intervalle für einzelne Reports immer kürzer zu halten. Es empfiehlt sich, ein auf die Bedürfnisse des Managements abgestimmtes Reporting auf der Basis eines sinnvollen Monitorings unternehmensweit einzuführen. |
| Sicherheit im globalen Kontext (bei global tätigen Unternehmen) |
|---|
| Bei vielen globalen Firmen konzentrieren sich die Sicherheitsaktivitäten oft schwergewichtig auf die Niederlassungen um den Hauptsitz. Punktuell und relativ lose werden Sicherheitsmassnahmen teilweise an weiteren Standorten national und international umgesetzt. Der Sicherheitszustand an den internationalen Standorten ist den Sicherheitsverantwortlichen aber dadurch weitgehend unbekannt. Die Sicherheitsanforderungen des Business für beispielsweise eine Erhöhung des Geschäftsvolumens im internationalen Umfeld, sind nur teilweise konzernweit ausformuliert und bekannt. Durch die fehlende Übersicht des Zustandes und der Anforderungen ist es schwierig, die Sicherheit auf die internationale Anliegen des Unternehmens auszurichten, um das Business effizient in ihrem Bestreben unterstützen zu können. Es ist daher empfehlenswert, dass eine Übersicht bezüglich den Sicherheitslevels bei den bestehenden Standorten vorhanden ist und die Anforderungen des Business für ein internationales Ausrichtung eruiert sind, um die folgerichtigen Sicherheitsmassnahmen zu konzipieren, allenfalls umzusetzen, auf ihre Effektivität zu überprüfen und wo notwendig, Anpassungen vorzunehmen. |
| Holistische Sicherheit |
|---|
| Viele Sicherheitsaktivitäten werden relativ losgelöst, fachisoliert und nur Teile des Firma betreffend und dies nur im operativen Umfeld wahrgenommen, obwohl sie ganzheitliche, unternehmensweite Betrachtungsweise der Sicherheit mit ihren rechtlichen, organisatorischen, physischen, konzeptionellen, technischen und psychologisch-personellen Sicherheitsaspekten auf Konzern-Level publiziert ist. Die personellen Sicherheitsressourcen werden gern auf einzelne Fachgebiete oder andererseits nur auf Teilbereiche des Unternehmens ausgerichtet. Bei fehlendem Verständnis besteht ein grosses Potential, dass Vorfälle an den zahlreichen Schnittstellen der verschiedenen Sicherheitsdisziplinen entstehen oder dass nur einseitig fachorientierte Massnahmen empfohlen werden, statt potentiellen Gefahren mit holistisch abgestimmten Massnahmen zu begegnen. Vorfälle passieren meist bei den Schnittstellen (Organisationen, Technologien, Personen, Infrastrukturen usw.). Deshalb ist es wichtig, die Schnittstellen zu kennen und diese zu Nahtstellen auszubauen. Ein ganzheitliches Verständnis für Sicherheit ist eine Voraussetzung für die Sicherheitsorganisation, um das Unternehmen hinsichtlich der Erreichung ihrer Zielsetzungen zu unterstützen. Deshalb ist das Verständnis für Sicherheit bei allen Mitarbeitenden, insbesondere bei den Sicherheitsfachleuten, beim Management und bei den Unternehmensentwicklern funktionsorientiert und stufengerecht zu fördern. |
| Vernetzung |
|---|
| Zahlreiche Mitarbeitende sind mit internen und externen Stellen, welche für ein Sicherheitsmanagement relevant sind, meist gut vernetzt. Doch für eine konzernweit nutzbringende Vernetzung fehlt aber trotzdem oft eine passender Kanal. Eine Sicherheitsorganisation hat sich intern optimal zu vernetzen, so dass Synergien genutzt werden können. Hierzu braucht es eine niederschwellig angesetzte Informationsplattform. Überdies schafft ein solch strukturiertes Netz eine konzerninterne Community, welche auch für andere Sicherheitsanliegen verwendet werden kann (Angemessenheitsumfragen, Neueinführungen, Innovationen im Sicherheitsumfeld). Es ist jedoch ebenso wichtig, sich strukturiert mit externen Stellen/Personen im Sicherheitsinteressengebiet der Unternehmung zu vernetzen. Diese Vernetzung darf nicht “nur” zufällig und auf persönlichen Kontakten zwischen einzelnen Exponenten und Aussenstehenden basieren. Vielmehr ist im wirtschaftlichen, politischen, technischen und gesellschaftlichen Umfeld ganz gezielt ein Networking aufzubauen, zu pflegen und wesentliche Informationen allen Beteiligten effizient zur Verfügung zu stellen. |
| Mitarbeiterkompetenz |
|---|
| Die Kompetenzen der Mitarbeitenden von Sicherheitsorganisationen können sehr unterschiedlich sein. Einzelnen Mitarbeitende können zwar in spezifischen Sicherheitsthemen fachlich sehr versiert sein, ihnen kann dann jedoch trotzdem die Kompetenz und/oder das Verständnis und/oder die Bereitschaft fehlen den Anforderungen einer globalen Sicherheit resp. sich auf wachsende, wechselnde Sicherheitsherausforderungen und dynamische Entwicklungen einzulassen. Einige Mitarbeitende sehen auch gern nur ihren Bereich & ihnen fehlt dann der Blick auf das Gesamtunternehmen. Eine weitere populäre Schwäche stellt die Zusammenarbeit (Austausch, Synergien) zwischen den einzelnen Bereichen/Abteilungen/Gruppen/Teams unter einander resp. mit dem CSO dar. Die Kompetenzen sind auf das Gesamtunternehmen auszurichten und wo sinnvoll und effizient durchaus fach- und organisationsorientiert einzusetzen. |
| Awareness |
|---|
| Der grössten Schwachstelle in der Sicherheitskette, nämlich dem Menschen generell, insbesondere den internen Mitarbeitenden, welcher jedoch zugleich die grösste Chance für eine erfolgreiche und nachhaltige Umsetzung der Sicherheit wäre, wird meist viel zu wenig entgegen gesetzt. Dies zeigt sich (1) in oftmals wenigen und isoliert durchgeführten Sensibilisierungsmassnahmen, (2) in den zur Verfügung gestellten Budgets für Awareness bspw. im Vergleich zu den technischen Sicherheitsbelangen, (3) in den fehlenden Analysen hinsichtlich den von Personen verursachten Vorfällen und Beinahevorfällen (4) in den Awarenessmaterialien, die teilweise nur in einsprachig und nicht in den jeweiligen Sprachen der Nutzer vorhanden sind (Awareness ist für bestimmte Gruppen von Mitarbeitenden nur in der jeweiligen Muttersprache möglich). Die Awareness ist konzernweit programmartig und nicht mittels isoliert durchgeführten Aktionen zu konzipieren, die einzelnen Elemente zu planen und durchzuführen, den Lerneffekt zu messen und mit diesem Steuerungswissen die erforderlichen Sofortmassnahmen zu ergreifen resp. die nächsten Elemente der Awarenesskampagne zu planen. |
Typische Stärken
Soviel mal zu den weniger erfreulichen Erkenntnissen. Nun ist es im Sinne einer ganzheitliche Erkenntnis aber auch wichtig sich bewusst zu werden, was Sicherheitsorganisationen in der Regel auf gutem Niveau praktizieren:
| Management-Attention |
|---|
| Das Management ist sich des Stellenwertes der Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit) bewusst. Nicht umsonst ist in den strategischen Zielsetzungen die Unternehmenssicherheit in direkter und indirekter Weise aufgeführt. |
| Personelle Ressourcen |
|---|
| Die personellen Ressourcen für ein businessorientiertes Sicherheitsmanagement sind vorhanden. |
| Regulatorischer Anforderungen |
|---|
| Die regulatorischen Anforderungen sind erfüllt und die Resultate der Audits bezeugen das. |
| Weisungen, Policy, Guidelines und andere interne Regelwerke |
|---|
| Umfassendes Regelwerk mit zahlreichen Weisungen, welches fast alles und jedes regelt und den externen Audits jeweils genügen, sind oft in vollem Umfang anzufinden. |
| Physische Sicherheit |
|---|
| Im Bereich der physischen Sicherheit sind oft zahlreiche Sicherheitsmassnahmen, die konzipiert sind anzutreffen und soweit im Alltag erlebbar konsequent umgesetzt. Erwähnenswert sind dabei beispielsweise mögliche mehrstufigen Zutrittsanlagen, Clear Desk, Secure Print, Abfallentsorgung, Erst-Hilfe-Material etc. |
| Verantwortlichkeiten & Owner-Prinzip |
|---|
| Für die verschiedenen Zwecke (Applikationen, Informationen, Personendaten, Infrastrukturen usw.) sind Ownersysteme mit klaren Verantwortlichkeiten resp. Zuständigkeiten vorhanden. |
Handlungsspielräume und Optionen
Es gilt nun aus der Synthese von Stärken und Schwächen die Handlungsspielräume und Optionen auszuarbeiten.
| Sicherheitsorganisation |
|---|
| Es besteht immer die Möglichkeit, die Sicherheitsorganisation den unternehmensweiten Anforderungen anzupassen, die personell notwendigen Anpassungen bei der Sicherheitsorganisation vorzunehmen, der Sicherheit einen einprägsamen Namen, ein Image und ein Gesicht zu geben. |
| Sicherheitsmanagement |
|---|
| Mit einer Neuorganisation der Sicherheitsbereiche ergibt sich die Chance, die oft gut dotierten vorhandenen Ressourcen effizienter und den Anforderungen des Business resp. den Herausforderungen der Umwelt entsprechend einzusetzen. Dabei können die notwendigen Werkzeuge für die automatische Überwachung routinemässiger Sicherheitsprozesse, für das Sicherheits-Risiko-Management oder für das Managen und Entwickeln der Sicherheit konzernweit bereitgestellt werden. Es besteht die Chance, die in verschiedenen Bereichen praktizierte Ausrichtung auf unterschiedliche Sicherheitsstandards zu vereinheitlichen. Dadurch kann die Sicherheit unternehmensweit homogener geführt und nicht nach beliebigen Vorgaben verwaltet oder administriert werden. Die Sicherheitsorganisation kann somit einen wesentlichen Beitrag zu Unternehmenssteuerung beisteuern. |
| Holistische Sicherheit |
|---|
| Es besteht die Möglichkeit, den Blick effektiv auf die Belange der holistischen Sicherheit des Konzerns zu richten, dieser auf global das erforderliche Gewicht zu geben, um ein im Sinne des Business sicheres Wachstum zu ermöglichen. |
| Sicherheits-Risiko-Management |
|---|
| Es besteht die Chance, die Schnittstellen zwischen strategischem Risikomanagement und operativem Sicherheits-Risiko-Management zu fruchtbaren Nahtstellen auszugestalten, Synergien zu nutzen und Doppelspurigkeiten zu vermeiden. |
| Sicherheit als Marketinginstrument |
|---|
| Sicherheit kann als Marketingmittel bzw. Verkaufsinstrument eingesetzt werden und als Business-Provider dienen. Eine richtig kommunizierte Sicherheit kann genau der Wettbewerbsvorteil gegenüber den Mitbewerbern sein, ein Distinktionsmittel. Deshalb ist die Sicherheit viel mehr unter diesem Aspekt zu betrachten und kommunikationsmässig entsprechend aufzubereiten. Allerdings sind dabei die möglichen Gefahren einer zu extensiv kommunizierter und beworbener Sicherheit nicht ausser Acht zu lassen. |
Risiken der Veränderung
Trotzdem sollte man sich darüber hinaus auch bewusst sein, dass jede intendierte Transformation und sukzessive Veränderung auch Risiken birgt. Im Folgenden werden einige davon beispielsweise erörtert.
| Mangelnder Überblick Sicherheitszustand |
|---|
| Auf Grund eines oft fehlenden konzernweiten Überblicks bezüglich des Sicherheitszustands besteht die Gefahr, dass an einer heute scheinbar unbedeutenden Stelle sich ein Vorfall mit grossen Auswirkungen ereignen kann. |
| Incident bzw. Sicherheitsvorfälle |
|---|
| Es besteht die Gefahr, dass sich vor der Umsetzung der angestrebten strategischen Umwandlung/neu Positionierung sich ein grosser Sicherheitsvorfall ereignet, für welchen die Sicherheitsorganisation mit den heutigen Strukturen und Prozessen nicht ausreichend gewappnet ist. |
| Globalisierung und andere rasante Entwicklungen |
|---|
| Es besteht die Gefahr, dass globale Entwicklungen und Umstruktiurierungen auf Konzernebene, ev. rascher als die vorbereitenden Umwandlung der Sicherheitsorganisation erfolgen und dadurch schwierige und aufwendige Nachbesserungen erforderlich sind. |
| Umfang Regelwerk |
|---|
| Das umfassende Regelwerk birgt die Gefahr, dass zu vieles geregelt ist (Überregulierung), Wichtiges und Unwichtiges schwerlich voneinander zu unterscheiden sind, nicht den Bedürfnissen des Business entsprechen oder sogar Innovationen, die für eine dynamische Entwicklung eines modernen Unternehmens unbedingt notwendig sind, verhindern. |
| Kommunikation Regelwerk |
|---|
| Es besteht die Gefahr, dass das Regelwerk den Mitarbeitenden nicht stufengerecht, praxisfremd, kompliziert und unverständlich kommuniziert wird: Art und Weise der Formulierung, Umfang der Regeln, Formen der Kommunikation/Publikation. |
| Aktualität Regelwerk |
|---|
| Das Regelwerk ist zwar vollumfänglich aber oft überholungsbedürftig und enthält einige veraltete und fehlerhafte Inhalte. Im Schadensfall würde dies der Unternehmung sicherlich negativ ausgelegt. |
Im Folgenden soll beleuchtet werden, was nun basierend auf diesen Erkenntnissen (die hier beispielsweise an ein mittleres bis grösseres global orientiertes Unternehmen angelehnt sind) in puncto Strategie zu tun sein könnte, um die gewünschte Positionierung der Sicherheitsorganisation zu erreichen.
Ansatzpunkte für die Definition einer Strategie zur verbesserten Positionierung einer Sicherheitsorganisation
Um nun basierend auf der IST-Analyse eine Strategie zu definieren, müssen die Erkenntnisse nun mit den strategischen Ansatzpunkte betrachtet werden, um daraus die nötigen Massnahmen zu definieren und schliesslich zu ergreifen.
a) Ganzheitliches Sicherheitsdenken b) Sicherheitskultur c) Sicherheitsorganisation d) Sicherheits-Risiko-Management-System e) Monitoring / Reporting
Ganzheitliches Sicherheitsdenken (a)
Die ganzheitliche Sicherheit sollte sich umfassend auf die organisatorischen, technischen, rechtlichen, konzeptionellen, physischen und psychologisch-personellen Aspekte der Sicherheit insgesamt beziehen.
Highlevel heisst, dass die Bestrebung der Sicherheit darauf ausgerichtet werden sollen, Sicherheit konsequent, umfassend, abgestimmt, geplant und effizient in ethisch, wirtschaftlich/rechtlich vertretbarem Rahmen unter Ausnutzung bestehender Synergien zu adressieren. Ziel aller Sicherheitsaktivitäten sollte es sein, schädigende Ereignisse für Unternehmen, Mitarbeiter, Partner in Häufigkeit und Auswirkung auf ein akzeptables Minimum zu reduzieren.
Dabei ist es entscheidend, dass bei Sicherheitsfragestellungen alle diese Disziplinen vernetzt beleuchtet werden und die notwendigen Massnahmen zeitlich, räumlich und inhaltlich vernetzt geplant, umgesetzt, überprüft und auf Grund der Ergebnisse dieser Überprüfung allenfalls angepasst werden.
Sicherheitskultur (b)
Die Sicherheitskultur stellt den wichtigsten Faktor innerhalb der Sicherheit eines Unternehmens dar. Dieser Faktor bekommt jedoch am wenigsten Beachtung und dementsprechend am wenigsten Mittel zugeteilt! Denn die psychologischen Aspekte der Sicherheit werden in der Tendenz oft suspekt erscheinen, in einem vorwiegend von ausschliesslich rationalen Denkmustern dominierten Management.
Organisationsentwicklungen erfolgen leider sehr oft nur über Anpassungen bei den Organigrammen, allenfalls noch bei den Prozessen, leider nicht bei der Kultur. Für erfolgreiche und nachhaltige Veränderungen sind jedoch Entwicklungen in allen drei Bereichen Struktur – Prozess – Kultur unabdingbar.
Sensibilisierungsmassnahmen sind in einem Programm und nicht isoliert zu konzipieren und durchzuführen. Um Steuerungswissen zu erhalten, sind die Veränderungen der Sicherheitskultur mittels zahlreichen Wissens- und Verhaltensüberprüfungen praxisnah zu messen, um die erforderlichen Korrekturen vorzunehmen resp. die neuen Inhalte der nächsten Sensibilisierungsstufe zu planen. Bei der Entwicklung der Sicherheitskultur ist primär das Schwergewicht auf die Sensibilisierung des Managements zu legen. Die Vorbildfunktion des Managements ist die effizienteste Sensibilisierungsmassnahme. Sensibilisierungen haben stufengerecht, funktionsorientiert und altersgerecht zu erfolgen.
Sicherheitsorganisation (c )
Um die genannten Aufgaben unternehmensweit wahrnehmen zu können, ist die Sicherheitsorganisation zentral zu organisieren. Insbesondere in Unternehmungen, welche mehrere Firmen zu einem Konzern zusammengeschlossen haben und die Unternehmens- resp. Sicherheitskulturen der vormals selbstständigen Firmen noch stark ausgeprägt sind, ist eine zentrale Führung der Sicherheit absolut erforderlich.
Dem CSO kommt dabei natürlich eine Schlüsselrolle zu: Strategischer Leader als mitwirkend an der Geschäftsstrategien, aber auch als operativer Business-Partner und Lösungsprovider.
Das antiquierte Bild des CSO als Businessverhinderer durch die Hintertür, als NEIN-Sager, als selbstherrliche Legislative UND Judikative zugleich oder als notorischer Schwarzseher hat ausgedient. Der CSO entfernt sich von der lediglich technisch Sicherheitsbetrachtungsweise hin zur Sicherheit im Businesskontext im strategischen Umfeld mit Überwachungsaufgaben im operativen Sicherheitsumfeld.
Besondere Herausforderung: Sicherheits-Risiko-Management System (d)
- Ein intelligentes und umfassendes Sicherheits-Risiko-Management System: Erarbeitung von Entscheidungsgrundlagen für die Businessverantwortlichen im Bereich Sicherheit mittels einem modularisierten Sicherheits-Risiko-Standardverfahren den konkreten Anforderungen dem Konzern entsprechend
- Automatisierung von routinemässigen Sicherheitsprozessen
- Verfolgen der Entwicklungen in der Technik, Politik, Wirtschaft, Gesellschaft und zwar Chancen und Gefahren
- Entwickeln von Sicherheitsinnovationen
Dazu bedarf es eines Austauschs, bei welchem die unternehmensweiten Sicherheitsstandards und -ziele definiert und die Fortschritte in den verschiedenen Sicherheitsbelangen gemessen werden.
Die Mitarbeitenden der zentral agierenden Sicherheitsorganisation müssen sich vom fachspezifischen, nur auf einzelne Geschäftsteile fokussierende und operativ Handelsweise hin zum unternehmensweit denkenden, businessorientierten, ganzheitlichen Sicherheitsexperten mit vertieftem Fachwissen in einzelnen Bereichen entwickeln. Die Sicherheitsmanagementmethode als auch der Sicherheits-Risiko-Prozess haben sie verinnerlicht und wenden diese tagtäglich nutzbringend an.
Monitoring – Reporting (e)
In einem Unternehmen fallen laufend an sehr vielen Stellen sehr viele Informationen an, welche hinsichtlich des Sicherheitszustands der Unternehmung genutzt werden könnten. Einerseits fallen diese Informationen als Nebenprodukt an, andererseits werden diese Informationen explizit erhoben, um den IST-Zustand zu messen und die Abweichungen vom definierten SOLL feststellen zu können. Im Einzelnen funktioniert dies in der Regel gut. Eine Übersicht all dieser Informationen und Erhebungsstellen, eine Analyse der vorhandenen Informationen im Gesamtrahmen, eine Verdichtung der Informationen und schlussendlich eine Empfehlung zu Handen des Topmanagements fehlt aber meistens.
Um dieses Monitoring mit anschliessendem Reporting den verschiedenen Interessenten zuführen zu können, ist es wichtig, Schritt für Schritt vorzugehen und nun nicht die Allzwecklösung zuerst in aufwendigen Konzepten und Infrastrukturen zu erfinden. Vielmehr kann mit dem Vorhandenen gestartet und sukzessive entsprechend den Bedürfnissen der Interessenten weiter entwickelt werden.
Wenn man nun die Erkenntnisse aus der Situationsanalyse inkl. Stärken und Schwächen als Grundlage nimmt und sie an den genannten Ansatzpunkten aufzubauen versucht, sollte es gelingen, konkrete Verbesserungsmassnahmen zu definieren und durchzuführen, die das gesamte Image und schliesslich den Stellenwert und Position der Sicherheitsorganisation positiv zu fördern.
Fazit
Wenn es gelingt, sich selbst als Sicherheitsorganisation zu reflektieren und aus einer Analyse heraus die systematischen Schritte in Form von konkreten Massnahmen festzulegen, kann der Ausbruch aus einer historisch gewachsenen und oft auch selbstverschuldeten nachteiligen Positionierung glücken. Allerdings sollte man sich auch vor der Selbsttäuschung des business as usual hüten, d.h. eines nur simulierten Neuanfangs, wo es also vor allem um die Erhaltung des Status Quo geht, anstatt um eine reale Transformation.
Es bedarf natürlich primär auch der Bereitschaft, sich auch ausserhalb der traditionellen Komfortzone zu bewegen. Es nützt ja nichts, sich dem Tenor der organisierten und institutionalisierten Verantwortungslosigkeit anzuschliessen. Die Sicherheitsorganisation muss sich visionär mit sich selbst beschäftigen, um zukünftigen Erfordernissen gerecht zu werden. Das Motto sollte daher gerade auch im Sicherheitskontext lauten:
Denn wer sich erhalten will, muss sich verändern!
About the Author
You need support in such a project?
Our experts will get in contact with you!
×
Active Directory certificate services
Eric Maurer
Foreign Entra Workload Identities
Marius Elmiger
Active Directory certificate services
Eric Maurer
You need support in such a project?
Our experts will get in contact with you!