Management von Informationssicherheit und organisatorische Alternativen

Beschreibung

Die Themen

• Ansiedlung des IT-Sicherheitsmanagements im Unternehmen
• Maturing the Security Workforce
• Organisation von IT-Security
• Aktuelles aus der Normung (SC27)
• Versuch eines systematischen Überblicks über Organisationsalternativen

Bericht zum Workshop und Details zu den Vorträgen

S. Haack/ Vodafone D2:
Ansiedlung des IT-Sicherheitsmanagements im Unternehmen

Herr Haack erläutert das Problem vor dem Hintergrund einer gerade abgeschlossenen praktischen Erfahrung.

Als Ausgangsbasis wird der IT-Sicherheitsmanagement Prozess definiert als die vier wesentlichen Teilprozesse "Ziele und Richtlinien", "Implementation", "Betrieb" und "Überprüfung". Da der ITSM-Prozess jedoch nicht getrennt vom jeweiligen Unternehmenszweck gesehen werden kann, ist eine Verzahnung mit den Geschäftsprozessen zwingend notwendig.

Es gibt immer wieder Rollenkonflikte, wenn die vier Teilprozesse in einer Hand liegen. So kann beispielsweise nur schlecht der Betrieb von Sicherheitsmaßnahmen und deren Überprüfung von einer Organisationseinheit durchgeführt werden. Daher wird eine Trennung auf mindestens zwei getrennte Instanzen vorgeschlagen.

Eine weitere Problematik ist die Verteilung der Rollen im Unternehmen. Eine Ansiedlung von Sicherheitsfunktionen im IT-Betrieb kann zu Problemen führen, da der Betrieb in seiner Rolle als Dienstleister für die Fachabteilungen nur schlecht Sicherheitsvorgaben gegenüber diesem durchsetzen kann. Daher sind einige der Sicherheitsprozesse außerhalb des IT-Betriebes anzusiedeln. Auf diese Weise kann die IT-Sicherheit auf die Geschäftsprozesse einwirken, die dann wiederum die Sicherheitsanforderungen gegenüber der IT-Abteilung stellen.

Am Ende wird ein konkreter Vorschlag für die Ansiedlung der Sicherheitsfunktionen im Unternehmen gemacht, der die genannten Problematiken größtenteils lösen kann.

[  Präsentation als PDF]

Stichworte aus der Diskussion:

• Es wurden verschiedene Varianten diskutiert, wie dem Sicherheits-Offizier stärkere Möglichkeiten zur Durchsetzung seiner Ziele eingeräumt werden können, wenn Zielkonflikte zwischen Geschäftsprozessen und Sicherheitszielen, insbesondere finanzieller Art, bestehen.
• Ein eigenes Budget, das reguläre Projekte in Bezug auf die Realisierung von Sicherheitszielen finanziell unterstützt ("Zuckerbrot") wurde mehrheitlich als nicht zielführend angesehen.
• Die "Peitsche" einer Eskalierung der Zielvorgaben wird als das normale Vorgehen angesehen, in dem ein - aus Sicht des Unternehmens - ausgewogenes Vorgehen verabschiedet werden kann.
• Auch eine Ansiedlung der Sicherheitsfunktion auf entsprechend hoher Stelle (z. B. direkt unter der Geschäftsführung) wurde nicht von allen als vollständig Problemlösend angesehen. So hänge es immer sehr stark von den handelnden Personen und deren Bewusstsein für die Thematik selber ab. 

Peter Berlich/ IBM Zürich:
Maturing the Security Workforce

Maturing the Security Workforce Peter Berlich stellte eine Studie von (ISC)2 zur beruflichen Entwicklung in der Sicherheitsbranche vor.(ISC)2 hat in einer Umfrage Daten zur beruflichen Stellung, Entwicklungswünschen und Perspektiven von technischen und Führungsfunktionen in der IT-Sicherheit erheben lassen. Die Studie beleuchtet insbesondere die Bedeutung formaler Abschlüsse, erlaubt aber auch Rückschlüsse auf die Funktion und Stellung des Sicherheitsbeauftragten im Unternehmen im allgemeinen.

Die Stärken und Schwächen der Studie insgesamt, der Ausgangsdaten und die Ergebnisse wurden im Forum teils kontrovers diskutiert.

Insbesondere wurde der Wunsch nach einer repräsentativen Erhebung und Auswertung erhoben. Da es sich um eine (autorisierte) Vorabveröffentlichung handelt, können die Unterlagen zu diesem Thema erst nach dem Stichtag der offiziellen Publikation zugestellt werden. Herr Berlich wird die Verteilung organisieren.  

Peter Berlich/ IBM Zürich:
Organisation von IT-Security im Unternehmen

Ergänzend zur Diskussion des Vormittags ging Herr Berlich auf einige Fokusthemen ein, die jeweils in eine ausführliche Diskussion mündeten. Die behandelten Themen waren der logische Aufbau einer Sicherheitsorganisation und der Prozesslandschaft, die Rolle des internen und externen Dienstleisters und seine Einbettung in das Governancemodell der Organisation, die Elemente einer Sicherheitsorganisation und die Frage der Kostenverteilung.

[  Präsentation als PDF]  

Martina Rohde/ BSI:
Aktuelles aus der Normung

Die Norm für ISMS ISO/IEC 17799, die nach einem Fast-Track von UK vor ca. 4 Jahren eingebracht worden ist, befindet sich inzwischen in der letzten technischen Konsolidierungsrunde. Es sind nur noch wenige größere Änderungen eingebracht worden, wie z.B. die Aufnahme eines "incident managements" im Maßnahmenbereich.

Der noch fehlende Teil 2 von BS 7799 wird nun als neues Arbeitsprojekt behandelt. Das Ziel ist, bis zum Jahr 2006 eine international gemeinsame Basis für nationale Zertifizierungssysteme zu haben. Aufgrund des engen Zeitrahmens kann nicht mit einer größeren Überarbeitung des vorliegenden britischen Normentextes gerechnet werden.

Ein weiteres Arbeitsprojekt ist eine Metriken-Norm für das Messen der Erfüllung von Sicherheitsmanagement. Hier existieren keine Vorarbeiten. Mit einer Fertigstellung vor 2008 ist nicht zu rechnen.

Auch die Norm ISO/IEC 13335 wird aktualisiert. Der erste Teil steht zur Veröffentlichung an und wird in das deutsche Normenwerk übernommen. Im zweiten Teil wird ein generischer Riskikomanagement-Prozess beschrieben.

[  Präsentation als PDF]

Referenzen: Das BSI hat zu ISMS und Zertifizierung Studien erstellen lassen:

• BSI: Studie zu ISO-Normungsaktivitäten ISO/BPM - Vergleich der Audit- und Zertifizierungsschemata für IT-Grundschutz und BS 7799-2 [Link]
• BSI: Studie zu ISO-Normungsaktivitäten ISO/BPM - Anforderungen an Information Security Management Systeme [Link]

Stichworte aus der Diskussion:

• In der Diskussion wurde auf das ohne Copyright verwendbare Dokument von NIST "Computer Security Incident Handling Guide" verwiesen. Herr Keller wird den Link darauf noch verteilen. 

Helmut Stiegler/ STI Consulting:
Versuch eines systematischen Überblicks über organisatorische Alternativen

Vorgesehen war, gemeinsam in der Runde das Spektrum der organisatorischen Alternativen auszuloten. Als Diskussionsgrundlage sollten die vorgestellten Folien dienen. Auf Grund der beschränkten Zeit konnte dies nicht geleistet werden. Ausserdem war in den vorangegangenen Vorträgen und Diskussionen die Vielfalt sinnvoller Alternativen schon als nahezu unbegrenzt erkannt worden, mit den einzigen Konstanten - im Vortrag von Herrn Berlich schon einhellig festgestellt:

1. Rollentrennung zwischen den Instanzen für Zielfestlegung, Umsetzung und Überprüfung,
2. die organisatorische Unabhängigkeit des Sicherheits-Managements von den von ihr betreuten Abteilungen.

Eine lebhafte Diskussion erzeugte der Versuch, die Argumente von Zhou Zhing "CMM in Uncertain Environments" auf das IT-Sicherheitsmanagement - besonders bei kleinen Firmen - zu übertragen: (1) organisatorische Reife ist nur in stabilen Perioden von Vorteil, (2) in Umbruchsphasen sollte auf tiefere Reife-Stufen zurückgegangen werden. Die Begründung ist, dass Formalisierungen und "best practice" immer auf Erfahrungen der Vergangenheit beruhen, die plötzlich ungültig geworden sein können - ohne dass man irgend einen Einfluss darauf nehmen kann.

Kontrovers wurde z.B. diskutiert, ob die Rückkopplung einer Level 5-reifen Organisation nicht genügen muss, auch Umbruchphasen zu beherrschen. Als Problem der heutigen Praxis wurde genannt, dass schon die häufigen innerbetrieblichen Umstrukturierungen regelmäßig negative Auswirkungen auf die etablierten Sicherheitsmaßnahmen haben. "Lernen und Anpassen" dauert immer einige Zeit (und ist aufwendig). Wie ein Sicherheits-Management ausgestaltet sein muss, damit es hiergegen eine stärkere Stabilität aufweist, blieb offen. Vorkehrungen diesbezüglich sind auch in den gängigen Standards nicht enthalten.

[  Präsentation als PDF]  

Fachgruppen-Internes:
Verwendung des Verteilers der FG SECMGT

Aktuelle Information zur Fachgruppe steht im Web unter www.secmgt.de. Aus Sicht der GI sollen aber auch alle GI-Mitglieder, die Interesse an der FG angemeldet haben, über wichtige Ereignisse informiert werden. Dies soll einmal im Jahr mit Hinweis auf die Website und die Möglichkeit der Anmeldung an den aktiven Verteiler erfolgen (hierzu muss die GI eingeschaltet werden). Eine Überschneidung mit aktiv angemeldeten Mitgliedern kann dabei nicht ausgeschlossen werden.

Informationsaustausch zwischen FG-Mitgliedern: Aufgrund der Größe der Gruppe und der stark wechselnden Teilnehmer soll in Zukunft Informationen über die Teilnehmer einer Veranstaltung nur noch an die Teilnehmer selbst gehen. Mails der FG-Leitung werden zukünftig verschickt über den maschinell geführten Verteiler secmgt@gi-fb-sicherheit.de , womit SECMGT als Absender auftritt, anstelle von den Personen des Leitungsgremiums wie bisher. (Format kollidiert allerdings leicht mit manchen Mailsystemen!) Über diesen Verteiler können auch allgemein interessierende Fragen in der Runde - aktuell ca. 120 Adressaten - verteilt und diskutiert werden. Achtung: der Verteiler wird - auf Grund von Klagen wegen Spam - moderiert. Man sollte also z.B. keinen weiteren Adressaten als die SECMGT wählen.  

Themenvorschläge für folgende Treffen:

1. Operatives Risiko-Management und IT-Sicherheits-Management (Prof. Petzel, SAP?, CA zu Tool - als Beispiel
2. Outsourcing und Managed Security (Beiträge von Hrn. Berlich und Hrn. Keller)
3. Awareness, Motivation, Schulung (noch keine Beiträge genannt)
4. Internes Marketing
5. Skalierung (noch keine Beiträge genannt)
6. Standards ( ... )
7. Ausbildung, Praxiserfahrung von CISOs (mögliche Kandidaten u.a. sind Hr Postl, Hr. Keller)
8. BCP, DRP, BIA (Business Impact Analysis)
9. Herstellertag: Was tun sie zur Unterstützung des Sicherheits-Managements? Hierbei könnte IBM (Hr. Berlich würde Kontakt herstellen und ggf. eigenen Beitrag machen können), MS, Oracle, Suse, SUN, SAP gefragt werden!