Information Technology Reference
In-Depth Information
3ODQ
$FW
'R
&RQWURO
&KHFN
ABBILDuNG 4.12
Deming Cycle
4.1.11.4■Rollen
Der Information Security Manager ist verantwortlich für die Zielerreichung im Information
Security Management. Er trägt weiterhin folgende Verantwortung:
Entwicklung, Plege, Kommunikation und Durchsetzung der Policies
Security-Risiko-Analysen und Risikomanagement
Monitoring und Management sicherheitsrelevanter Vorfälle
Verantwortlich für die Durchführung von Security-Tests
Verantwortlich für Vertraulichkeit, Integrität und Verfügbarkeit der Services
Zentraler Ansprechpartner für alle Fragen der Information Security
4.1.11.5■Key-Performance-Indikatoren (KPI)
Im Folgenden inden Sie einige Beispiele für mögliche Kennzahlen aus der ITIL
®
-Literatur,
mit deren Hilfe sich die Prozessqualität und der Beitrag zu den IT-Zielen messen lassen:
Anteil der Security Incidents an der Gesamtzahl der Incidents
Anzahl der Fehler nach Audits
Anteil der SLA, OLA und UC mit Sicherheitsabschnitt
Prozentuale Reduzierung der Auswirkungen von Security Incidents
Es reicht jedoch nicht aus, einfach deinierte Kennzahlen zu übernehmen. Details zur rich-
tigen Gestaltung von Zielen und Kennzahlen beschreibt Kapitel 5.
4.1.11.6■Herausforderungen
Ein bekannter Ausspruch zum Thema IT-Sicherheit lautet „Security hurts“, in etwa: „Sicher-
heit schmerzt“. Maßnahmen zur Verbesserung der IT-Sicherheit werden von den Mitarbeitern
häuig als lästige und unnötige Erschwerung der Arbeit wahrgenommen. Daher ist eine klare
Stellungnahme des Managements von ebenso großer Wichtigkeit wie ein funktionierendes
Marketing. Das Bewusstsein für die Notwendigkeit und die klare Aussage des Managements,
dass es keine Alternative gibt, werden zur weitgehenden Einhaltung der Maßnahmen bei-
tragen.
Verbreitet gilt die Sichtweise, dass man IT-Sicherheit vor allem mit technischen Mitteln wie
Firewalls, Virenschutzsotware usw. erreicht. Diese technischen Mittel spielen sicherlich
