Die IT-Sicherheit umfasst viele Handlungsfelder, derer man sich bewusst werden sollte. Wer alle Risiken kennt, kann sie gezielt adressieren oder auf Gegenmaßnahmen verzichten, wenn die Investition in keinem Verhältnis zum Nutzen steht.
Kürzlich habe ich eine Pressemitteilung gelesen – zu einer Keynote, die Dr. Wieland Alge, General Manager EMEA von Barracuda Networks, auf der eigenen technischen Konferenz gehalten hat. Gefallen hat mir die Pressemitteilung vor allem wegen ihres einprägsamen Titels: „Die drei (Alb)träume der CIOs: Crime, Consolidation und Cloud“.
Im Gegensatz zu vielen plakativen Aussagen von IT-Anbietern muss man feststellen: Der Titel beschreibt die Sachlage gut und ist nicht nur vom Wunsch getrieben, nette Schlagworte für die eigenen Produkte zu finden. Natürlich wird im weiteren Verlauf der Pressemitteilung dann (manchmal etwas bemüht) der Bezug zu den Barracuda-Produkten hergestellt. Die Idee ist aber gut.
In dem unlängst erschienen Report „IT-Initiativen 2012-2013: Eine 6*3-Matrix“ hat KuppingerCole die jeweils drei wichtigsten IT-Initiativen in sechs Handlungsfeldern zusammengefasst. Zu diesen Handlungsfeldern gehören unter anderem Informationssicherheit und Enterprise GRC (Crime), Konvergenz und Optimierung (Consolidation) und Cloud Computing.
Viele meiner vorangegangenen Kolumnen haben sich auch mit genau diesen Handlungsfeldern beschäftigt. Während Themen wie Konsolidierung, Konvergenz und Optimierung ganz klassische Themen sind, die nichtsdestotrotz wichtig sind, sind die beiden anderen Themenblöcken in den vergangenen Jahren immer mehr ins Blickfeld gerückt.
Fokus auf die IT-Risiken
Die wachsende Bedrohung durch die Computerkriminalität ist dabei ein ganz wesentliches Thema. Sie ist allerdings nur eine Facette innerhalb der Informationssicherheit und der steigenden Compliance-Anforderungen. Klar ist aber, dass man hier handeln muss. Der wichtigste Schritt dabei ist eine Risiko-orientierte Betrachtungsweise.
Statt hektisch in Einzellösungen zu investieren, braucht es einen standardisierten Ansatz zur Identifikation und Bewertung von Risiken und zur Umsetzung geeigneter Gegenmaßnahmen – wie es schon im 2009 erschienenen KuppingerCole Report „GRC Reference Architecture“ beschrieben ist (GRC: Governance, Risk Management, Compliance). Wenn man die größten Risiken kennt, kann man sie gezielt adressieren – oder auch akzeptieren, dass man bestimmte Risiken einfach in Kauf nehmen muss, weil es teurer wäre, sie zu adressieren.
Eines der wichtigsten Themen der nächsten Jahre wird dabei auch der Schritt über DLP (Data Leakage Prevention) hin zu Gesamtkonzepten der Data Leakage Resilience sein, also einem Ansatz, bei dem man nicht nur versucht, Datenverluste zu verhindern, sondern auch weiß, wie man auf die – leider unvermeidlichen – Datenverluste reagiert, den Schaden begrenzt und auch dazu kommuniziert, falls es erforderlich ist.
Die Cloud wiederum ist ein Thema, das CIOs nun schon lange beschäftigt. Dabei gilt als wichtigste Leitlinie, dass die Cloud nichts anderes ist als ein Bereitstellungsmodell für IT-Dienste. Die Frage ist also nicht, ob man die Cloud nutzen sollte oder nicht. Die Frage ist, wann die Cloud das bessere Bereitstellungsmodell als die interne IT-Produktion ist. Anders formuliert: Wenn man es richtig macht, reduziert sich die Frage einer Cloud-Strategie auf taktische Make-or-Buy-Entscheidungen.
IT strukturieren und vereinheitlichen
Wie eine IT aussehen sollte, die dem Business genau die benötigten Dienste und eine einheitliche Schicht für deren Management liefert, ist in KuppingerColes „Scenario: Understanding IT Service and Security Management“ beschrieben. Die Grundidee ist die Strukturierung der IT in drei Ebenen – die Bereitstellung von Business-Diensten, den Bezug und das Management von Diensten und die Dienst-Produktion in der internen IT oder in Clouds.
Dabei kommt die entscheidende Bedeutung für einen erfolgreichen Umgang mit der Cloud den Themen Service Management und, um die wachsenden Sicherheitsanforderungen zu adressieren, der Informationssicherheit zu. Wenn man die IT aber so strukturiert, dass man Dienste einheitlich betrachtet und verwaltet, gleich wo sie produziert werden, hat man bereits viele Probleme gelöst.
Denn dann geht es vor allem darum, standardisierte Bewertungsraster für die Auswahl von Cloud-Diensten zu definieren und umzusetzen, um dann schnell entscheiden zu können, woher man welchen Dienst am besten bezieht. Und das ist eben eine operative Aufgabe und keine strategische Herausforderung mehr.