Das PDCA-Modell: Plan, Do, Check, Act

Auch das IT Security Management insgesamt ist als kontinuierlicher Verbesserungsprozess zu sehen, der nach dem Qualitätszirkel von Deming (PDCA-Modell: Plan, Do, Check and Act) abläuft:

Plan: Der Plan sollte folgende Punkte definieren: Umfang und Zweck des IT Service Management; Ziele und zu erfüllende Anforderungen (SLAs); auszuführende Prozesse, Rollen und Zuständigkeiten; Schnittstellen zwischen den Service-Management-Prozessen und die Art und Weise der Koordination der Aktivitäten; Umgang mit Risiken für das Erreichen der definierten Ziele; Ressourcen und Budgets festlegen; Tools und Maßnahmen zur Messung und Verbesserung der Servicequalität.

Do: Prozess und Services implementieren. Hier geht es um die Zuweisung von Budgets, Rollen und Verantwortlichkeiten, die Dokumentation und Pflege der Richtlinien, das Risikomanagement, Reporting sowie den allgemeinen Betrieb der IT-Services einschließlich des Service Desks.

Check: Überwachen und Messen der Prozesse und Services im Vergleich mit Richtlinien, Zielen und Anforderungen; durch den Soll-Ist-Abgleich werden eventuelle Abweichungen identifiziert; Report der Ergebnisse.

Act: Aktionen zur kontinuierlichen Verbesserung der Prozessleistung. Hier werden die Ursachen der festgestellten Abweichungen abgestellt, der Prozess beginnt wieder von vorne unter Berücksichtigung des PDCA-Zyklus. Es geht dabei darum, die Verbesserungsvorschläge zu erarbeiten, dokumentieren, priorisieren und umzusetzen.

IT Security Management ist Chefsache. Die Entscheidung ob, wie und zu welchen Kosten derartige Prozesse im Unternehmen eingeführt werden, setzt eine Abstimmung und Zustimmung mit beziehungsweise durch die Geschäftsführung voraus. Das Senior-Management sollte die Sicherheitsstrategie definieren, nach innen und außen kommunizieren und für die effektive Implementierung sorgen. Zudem ist es Aufgabe des Managements, die Rollen und Zuständigkeiten für Security-Management zu definieren und zu verteilen.

Eine vorher festgelegte Managergruppe muss die Effizienz der Sicherheitsmaßnahmen kontinuierlich überwachen, um deren Effektivität und Effizienz fortwährend zu bewerten und eine Grundlage für neuerliche Anpassungen und weitere Maßnahmen zu erhalten. Wichtig dabei sind die Dokumentation und das regelmäßige Reporting, damit das Management Informationen über die Effektivität der Sicherheitsmaßnahmen, Trends bei Sicherheitsvorfällen und Input für mögliche Verbesserungen erhält.

Innerhalb der Prozessorganisation gibt es drei wichtige Rollen:

Process Sponsor: Verantwortlich für den Erfolg des definierten Prozesses (meist CIO).

Process Owner: Verantwortlich für die Aufsetzung des Prozesses und dessen Leistung (Vergleich der Ziele mit Messergebnissen), soll Verbesserungen herausfinden, kann Änderungen im Prozess durchführen (meist Chief Security Officer).

Process Manager: Überwacht den Prozess und stellt sicher, dass die Bedürfnisse des Kunden erfüllt werden. Liefert die Resultate und ist verantwortlich für die Optimierung des Prozesses (meist Division Security Officers).

Informationssicherheit wird häufig als Kostenfaktor oder Behinderung für Business-Funktionen wahrgenommen. Mit ITIL setzen sich Business-Verantwortliche und IT-Leute an einen Tisch, um die Services für Informationssicherheit festzulegen. Das sollte sicherstellen, dass die Services mit den Geschäftszielen auf einer Linie liegen.

ITIL ermöglicht Organisationen, Informationssicherheit auf Grundlage von Best Practices strukturiert zu entwickeln und zu implementieren. Die für Sicherheit zuständigen Mitarbeiter der IT-Abteilung können damit planvoller arbeiten. Da ITIL zudem die Rollen und Verantwortlichkeiten für Informationssicherheit klar definiert, steht während eines Zwischenfalls sofort fest, wer zuständig ist.

ITIL etabliert dokumentierte Standards und Prozesse (zum Beispiel SLAs und OLAs), die sich überwachen lassen, und fordert regelmäßig Reports ein. Daher ist das Management sehr gut über die Effizienz der Sicherheitsprogramme informiert und kann fundierte Entscheidungen treffen. Da ITIL ständige Überprüfung erfordert, sorgt es dafür, dass getroffene Maßnahmen zur Informationssicherheit effektiv bleiben, selbst wenn sich Anforderungen, Umgebungen oder Bedrohungen ändern.

Das ITIL-Regelwerk sollte zudem die übereilte, unorganisierte Einführung von IT-Security-Maßnahmen verhindern, da es eine konsistente, messbare Strategie erfordert anstelle von „Feuerwehreinsätzen“ nach Sicherheitsvorfällen. (mje)