So werden darüber die Sicherheitsleitlinien kontinuierlich auf ihre Aktualität geprüft und im Bedarfsfall entsprechend der Schutzbedürfnisse des Business überarbeitet. Gleichzeitig sorgt der integrierte Quality-Index für eine umfassende Transparenz bei den Business-Nutzern für alle Services. Um dies zu erreichen, werden die Informationsflüsse adäquat in der Organisation verankert.
Einen wesentlichen Nutzen generiert der IT-Quality-Ansatz auch für das Risikomanagement. Er berücksichtigt den sinnvollen Einsatz von Standardverfahren wie etwa die Fault-Tree- und Business-Impact-Analyse zur systematischen Untersuchung von Risiken in der Serviceerbringung. Die abgeleiteten Korrektur- und Schutzmaßnahmen können dabei individuell nach wirtschaftlichen Kriterien ausgewählt werden. Außerdem richtet die Methode ein großes Augenmerk darauf, die Risiken auch im Kontext einzelner Services und der Service-Erbringung samt ihrer gegenseitigen Abhängigkeiten zu berücksichtigen. Der Quality-Index greift hierbei zur Risikobewertung auf eine mit den notwendigen Informationen ausgestattete Konfigurationsmanagement-Datenbank zu und führt umfassende Risikoanalysen durch.
Nicht zuletzt berücksichtigt die IT-Quality-orientierte Security-Methode auch das Business Continuity Management und bindet die Sicherheitsanforderungen unmittelbar in die Change-Management-Prozesse ein. Zusätzlich unterstützen spezielle und nach Zielgruppen differenzierte Reports für einen jederzeitigen Überblick der Security-Situation. Zur umfassenden Transparenz gehört auch die Etablierung von Verfahren, um die relevanten Informationen allen Beteiligten zugänglich zu machen und sie kontinuierlich auf einem aktuellen Stand zu halten.
Hintergrund dieser Lösung ist, dass die Unternehmen üblicherweise organisatorisch und technisch eine hohe Veränderungsdynamik aufweisen. „Damit geht zwangsläufig einher, dass auch das Security Management fortlaufend mit neuen Anforderungen konfrontiert wird“, erläutert Frank Zielke, Vorstand des Beratungshauses. Infolge knapper Ressourcen oder anderer Projektprioritäten würden diese sicherheitstechnischen Erfordernisse jedoch nicht parallel umgesetzt oder nicht einmal erfasst werden, so dass unbemerkt gravierende Sicherheitslücken entstehen könnten.
„Notwendig sind deshalb Methoden für ein aktives Security Management, das auf definierte Qualitätsmaßstäbe ausgerichtet ist und dadurch ein jederzeit anforderungsgerechtes Sicherheitslevel gewährleistet. Herkömmliche Ansätze können diesem Anspruch jedoch meist nicht ausreichend gerecht werden, weil ihnen die aktive und qualitätsorientierte Steuerungsmethodik fehlt“, betont der Consultant.
