Es bleiben immer Restrisiken übrig, welche im Risk Management abgebildet, verwaltet und kontrolliert werden müssen – und dies auf Ebene der Führung oder gar Verwaltungsrat.
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: »Es ist vieles abdeckbar mit den Akteuren Menschen, Prozessen, ICT-Technologien und vor allem Tests und Monitoring. Die anderen Restrisiken gehören ins Risk Management und haben nichts mehr mit «nur» der ICT-Technologie zu tun.»
Die künftigen Bedürfnisse und Auswirkungen der Informationsgesellschaft betreffen mittlerweile globale Prozesse und Technologien und lassen sich nicht mehr isoliert betrachten und abdecken. Es braucht zunehmend interdisziplinäre Zusammenarbeit von Akteuren aus Gesellschaft, Politik, Technologie und Wissenschaft. Management-Ansätze und Ausbildung (z.B. Sensibilisierung zu Sicherheitsthemen) sind notwendig, damit dieses entstehende «Next Generation-Informationsuniversum» Mensch und Maschine mehr Nutzen als Schaden bringt und dabei beherrschbar bleibt.
Auch die sicherheitstechnischen Aspekte und deren Auswirkungen auf die ICT-Firmenstrategie, Compliance- und Governance-Anforderungen müssen berücksichtigt werden.
Der entsprechende Wandlungsdruck der Informatik – nennen wir es «Transformation» in ein neues Informatik-Zeitalter – hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich bei dieser Transformation zu unterstützen, dessen Entscheide zu prägen oder auch kritisch zu hinterfragen. ICT (und auch die ICT-Sicherheit) wird leider oft als reine Kostenstelle und nicht als strategischer, innovationstreibender Vorteil gegenüber Mitbewerbern betrachtet.
Sicherheit ist im Gesamtkontext zu sehen und beginnt mit der selbstkritischen Betrachtung eigener Prozesse und Infrastrukturen bevor der Fokus erweitert wird auf externe Abhängigkeiten (Hacker, Spionage, Cloud etc.). Die ICT-Gesamtsicherheit (bzw. letztlich die ICT-Strategie) ist ein umfassender Prozess mit Verantwortlichkeit auf der Führungsebene und nicht nur eine Ansammlung von Technologien, Produkten und Tools.
Aus diesen Aspekten heraus empfehle ich: bevor ein externer, technischer Schutzwall aufgebaut wird, sollte man als Basis die internen Prozesse, die Sicherheit und das Risk Management selbstkritisch optimieren und möglichst »zukunftsgewappnet” transformieren.
Fridel Rickenbacher ist Partner und VR der MIT-GROUP und Mitglied der AG Redaktion swissICT Magazine.