IT Security Management mit ITIL

Kein modernes Unternehmen, das wettbewerbsfähig bleiben will, kann sich heutzutage Sicherheit als „Nebenbeschäftigung“ leisten. Im Gegenteil: IT-Sicherheit ist eine wichtige Säule des Geschäftsalltags. Im Zeitalter des Internets sind die Risiken sehr vielfältig, da alle Daten elektronisch gespeichert und sämtliche Geschäftsprozesse in Software-Applikationen abgebildet sind. Der Schaden durch Datenverlust oder -diebstahl kann in die Millionen gehen. Der Imageschaden, der das betroffene Unternehmen bei Kunden, Lieferanten und in der Öffentlichkeit hat, ist dabei meist noch nicht einmal beachtet.

Viele Fragen stellen sich: Wie erreicht man, dass Unternehmensinformationen abgesichert werden? Wer darf wann, von wo auf welche Daten zugreifen? Wozu darf der entsprechende Mitarbeiter diese Informationen nutzen? Neben diesen unternehmensinternen Überlegungen gibt es eine Reihe von gesetzlichen Bestimmungen (beispielsweise BGB, HGB, Sarbanes-Oxley Act etc.), die Firmen und Organisationen in die Pflicht nehmen, etwa persönliche Mitarbeiterdaten vor Missbrauch zu schützen oder Informationen transparent und sicher aufzubewahren.

Daher sind die IT-Verantwortlichen gefordert, ein umfassendes Security-Management in Unternehmen zu implementieren. Ziel ist es, Schwachstellen bereits im Vorfeld zu erkennen und nicht erst, wenn der Schaden bereits aufgetreten ist. Gefragt ist eine durchdachte Sicherheitsstrategie, die genau festlegt, was wann in welcher Situation zu tun ist. Sicherheitsziele sind eindeutig zu definieren, ebenso Richtlinien, Maßnahmen, Prozesse sowie deren Umsetzung. Sehr effizient ist dieses IT-Security-Management-System (ISMS), wenn es auf ITIL (IT Infrastructure Library) V3 beruht und Normen wie ISO 20000 und 27001 erfüllt.