Alliance - Fotolia

F

Was ein guter Sicherheitsbericht enthalten sollte

Wenn CISOs ihre Berichte auf die Bedürfnisse der Empfänger ausrichten, sind diese in der Lage die Risiken für das Unternehmen besser zu verstehen.

Viele Sicherheitsbeauftragte und CISOs (Chief Information Security Officer) fragen sich, wie sie am besten an den Vorstand berichten und welche Arten von Informationen und Zahlen sie präsentieren sollen. Laut einer Studie konzentrieren sich die meisten CISOs in ihren Berichten auf das Management von Schwachstellen, während Maßnahmen zur Reaktion auf Vorfälle, Compliance-Audits und spezielle Security-Projekte zu kurz kommen. Zudem nehmen einige Sicherheitsverantwortliche keine Zahlen in ihre Berichte auf.

Wenn Sie die CEOs der wichtigsten eintausend Top-Fortune-Firmen fragen würden, was sie nachts wach hält, wird die Antwort wohl nicht Cybersicherheit sein – zumindest bislang. Es geht darum, dass Vermögen der Anteilseigner zu mehren. Und auch der Aufsichtsrat steuert eine Organisation, indem er breit aufgestellte Richtlinien und Ziele definiert, das jährliche Budget festlegt, Bonuspakete für leitende Mitarbeiter bestimmt und sich auf die Überlebensfähigkeit und die Profitabilität des Unternehmens konzentriert. Wenn Sie die Gedankengänge des Top-Managements verstehen, können Sie auch besser festlegen, was in Ihren Security-Bericht gehört.

Geschäftsführung und Aufsichtsrat verstehen

Die Zusammensetzung eines typischen Aufsichtsrates besteht aus Vertretern von Anteilseignern und Arbeitnehmern, häufig aus früheren Geschäftsführern, Experten im jeweiligen Industriebereich oder auch ehemaligen Beratern. Der CISO sollte genau wissen, wer sich im Aufsichtsrat befindet. Je nachdem, um welche Personen es sich handelt, und abhängig von ihren Erfahrungen und Interessen, kann ein CISO seinen Sicherheitsbericht auf ihre jeweiligen Bedürfnisse ausrichten. So verstehen diese die bestehenden Risiken für das Unternehmen besser.

Bestimmte Security-Metriken sind dabei ein wesentlicher Bestandteil, um die Angriffsvektoren für das jeweilige Unternehmen zu beschreiben. Einzelheiten zu den aufgetretenen Angriffen gehören aber nicht zu den Informationen, die der Aufsichtsrat benötigt, um Maßnahmen im Rahmen des IT-Security-Programms festzulegen.

Ein eher passiver Aufsichtsrat will vor allem wissen, ob alles unter Kontrolle ist und ob es Sicherheitsprobleme gibt, die er kennen sollte. Er ist darüber hinaus an Schwierigkeiten interessiert, die mit den geltenden Gesetzen und Richtlinien zusammenhängen, die sich um Datenschutz, Datenlecks und generell die Speicherung von Daten drehen. Ein aktiver Aufsichtsrat wird dagegen Maßnahmen beschließen wollen, die sich auf das IT-Security-Programm beziehen. Er wird die getroffenen Sicherheitsmaßnahmen jährlich überprüfen und den CISO ermächtigen, die nötigen Schritte zu unternehmen, um die Besitztümer der Firma zu schützen.

Das sollte ein Sicherheitsbericht enthalten

Der Fokus guter Sicherheitsberichte sollte deswegen auf den aktuellen Gefahren, Compliance-Fragen, den Antworten auf sicherheitsrelevante Vorfälle, aufgetretene Angriffsvektoren und künftigen Risiken liegen, die das Unternehmen betreffen. Sicherheitsberichte sollten auf die wesentlichen Fakten begrenzt und leicht zu verstehen sein.

Das beschlossene IT-Security-Programm sollte auf einem bewährten und in der jeweiligen Branche akzeptierten Framework basieren. Ein Beispiel ist ISO 27002, das aus zehn Bereichen besteht. Ein Security-Assessment sollte durchgeführt werden, um für jeden dieser Teile einen Bericht erstellen zu können. Der CISO kann das Framework kurz erklären und beschreiben, wie die einzelnen Bereiche berechnet werden.

Es ist aber effektiver, dem Vorstand nur eine grafische Aufbereitung der Ergebnisse zu zeigen. Dazu sind beispielsweise Torten- oder Balkendiagramme gut geeignet. Sie sollten auf die Meetings des Vorstands gut vorbereitet sein und Grafiken aus früheren Berichten im Vergleich zu aktuellen Grafiken zeigen können. So lassen sich die Veränderungen besser erläutern. Die verbliebene Zeit für den Bericht des CISOs sollte genutzt werden, um die bestehenden Anstrengungen sowie Maßnahmen zur Behebung von Sicherheitsvorfällen zu beschreiben.

Viele Vorstände und Geschäftsführer interessieren sich mittlerweile verstärkt für IT-Security – aus gutem Grund. Auch sie lesen die Nachrichten und fragen sich, ob möglicherweise ihr Unternehmen das nächste Opfer sein wird. Deswegen wollen sie wissen, was sie von anderen lernen können, um ihr Unternehmen zu schützen. CISOs sollten sicherstellen, dass ihre Sicherheitsberichte zeigen, dass die benötigten Maßnahmen getroffen wurden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Best Practices – so sollten Sicherheitsberichte verfasst werden

Security-Report-Vorlage: Wie man einen Bericht für die Geschäftsleitung schreibt

CISO: Die größten Herausforderungen für Sicherheitsverantwortliche

Die Verwendung von Vorlagen für Sicherheitsrichtlinien birgt Risiken

Artikel wurde zuletzt im April 2017 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close