Information Technology Reference
In-Depth Information
Sicherheitsexperten müssen Security by tradition also nicht deshalb aus allen
Ecken der Firma vertreiben, weil dadurch mehr Sicherheit entstünde, sondern weil
Chefs auf diese Art ihrer mentalen Komfortzone beraubt werden, wenn sie sich
das nächste Mal gegen eine Sicherheitsmaßnahme aussprechen, oder das Geld für
eine Maßnahme zu knapp ist. Das ist ein sehr mächtiger Hebel, auch wenn man
das nicht gleich auf den ersten Blick erkennt.
Nichts ist schlimmer als für die eigenen Entscheidungen die Verantwortung tragen
zu müssen und nichts ist auf Dauer wirksamer, wie die Wahrscheinlichkeit zu
erhöhen, dass es irgendwann mal soweit kommen könnte. Sicherheitsprofis
erreichen das durch die Etablierung eines Sicherheits-Management-Prozesses, der
Entscheidungen analytisch vorbereitet und sie dokumentiert. Ziel ist es, jedes
tolerierte Risiko by tratition in eines by concept zu überführen.
Abbildung 4-1:
Security by concept aus Sicht des Chefs
4.2
Good Cop - Bad Cop
Die Kommunikationssituation, in der sich die Sicherheitsexperten befinden, ist
nicht die beste. Nicht immer kann man sich aussuchen, mit wem man zu welchem
Thema kommunizieren möchte. Wer Sicherheit als Hauptaufgabe hat, verbringt
naturgemäß einen großen Teil der Zeit mit Unsicherheit: Allzu oft sind es schlechte
Nachrichten, die man zu überbringen hat und mancher leidet das Schicksal der
Kassandra aus dem antiken Griechenland, die zwar gegen Ende des Trojanischen
