F

Sollen Information-Security-Bewertungen von Consultants durchgeführt werden?

Soll eine außenstehende Consulting-Firma die Bewertung der IT-Sicherheit durchführen? Oder ist es besser, wenn das interne Security-Team das macht?

Mein CIO favorisiert, eine große Consulting-Firma einzubeziehen, die unser Information-Security-Programm bewerten soll. Es ist in der jüngeren Vergangenheit zu kleineren Zwischenfällen gekommen. Ich sehe das eher skeptisch, da ich der Meinung bin, dass dies nur eine Störung ist. Sollte ich auf meinem Standpunkt beharren oder eine Möglichkeit finden, mit den Consultants zu arbeiten? Wenn Ja, wie geht man am besten an die Sache heran?

Leider gibt es Zeiten, in denen der Prophet im eigenen Land nichts gilt. Ich habe persönlich schon die Erfahrung gemacht und auch gesehen, was vielen kompetenten Profis widerfahren ist. Grundsätzlich gilt, dass keiner die IT-Security-Umgebung so gut kennt wie die Security-Beauftragten der eigenen Firma. Sollten Sie allerdings Probleme haben, entsprechendes Budget oder Rückhalt vom Management zu bekommen, um notwendige Lösungen implementieren zu können, müssen Sie vielleicht auf Hilfe von außen hoffen.

Die Erfahrung hat gezeigt, dass der Schlüssel für jedes erfolgreiche Projekt eine gute Kommunikation ist. Es ist entscheidend, dass Sie das Management über den derzeitigen Stand der IT-Sicherheit auf dem Laufenden halten. Möglich sind zum Beispiel periodisch wiederkehrende Management-Reports, die an die Geschäftsleitung gehen. Diese Berichte sollten zeitgemäß, verständlich und informativ sein, sowie sich auf die Risiken für das Geschäft fokussieren. Ist der Bericht zu technisch oder zu lang, dann geht die Wirksamkeit verloren. Die Unterstützung der Geschäftsleitung ist immer dann entscheidend, wenn ein Security-Programm in Frage gestellt wird. Eine professionelle und kompetente Kommunikation seitens des IT-Sicherheitsteams wird zu den gewünschten Resultaten führen.

Es gibt immer mal wieder Zeiten, bei denen Hilfe von außerhalb notwendig ist. Consulting-Firmen, die eine angemessene Überprüfung des Information-Security-Programms durchführen können, gibt es wie Sand am Meer. Sie haben die Möglichkeit, sich nach einer bekannten oder großen Consulting-Firma umzusehen. Weiterhin ist es sehr wichtig, dass sie die allgemeinen Ziele und Prozesse des Security-Programms versteht. 

Natürlich haben außenstehende Firmen die Gelegenheit, sowohl gute als auch schlechte Information-Security-Programme zu Gesicht zu bekommen. Somit kommen hier Einblicke ins Spiel, die das interne Security-Team möglicherweise nicht hat. Dafür kennen die Consultants aber nicht das speziell für Ihre Firma zutreffende Geschäftsmodell. Die Unternehmenskultur spielt an dieser Stelle ebenfalls eine Rolle.

Sehen Sie sich nach einer Firma um, die Erfahrung mit IT-Security-Bewertungen in Ihrer Branche hat. Ermitteln Sie, wer die Bewertung durchführt und stellen Sie außerdem sicher, dass diese Person auch tatsächlich dafür verantwortlich ist. Es ist schon vorgekommen, das Consulting-Firmen Projekte basierend auf bestimmten Expertenwissen verkauft, dann aber andere Mitarbeiter geschickt haben, um die Bewertung vorzunehmen. Die Kosten sind natürlich immer ein Faktor, sollten aber dem Können nicht im Wege stehen. Das gilt auch im Hinblick auf den Prozess, die Erfahrung und das Verständnis für Ihr Business.

Über den Autor:
Miguel (Mike) O. Villegas ist Vice President der Consulting-Firma für Zahlungsabwicklungen und Technologie K3DES LLC. Mike hat als CISO für einen großen Online-Händler gearbeitet und war Partner für ein „Big Four“-Consulting-Unternehmen. Auch als VP von IT Risk Management und IT-Audit-Direktor für große kommerzielle Banken war er angestellt. Weiterhin war er über 30 Jahre lang Besitzer einer professionellen Informations-Security-Firma.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close