by Die wachsenden Anforderungen an die IT-Security machen die Trennung von IT-Security und IT-Operations unverzichtbar. IT-Operations ist häufig damit beschäftigt, akute technische Probleme zu lösen – also „Feuer zu löschen“. Dadurch bleibt wenig Raum für proaktive Sicherheitsmassnahmen.
Beginnen wir mit einer Situation, wie sie wohl häufig vorkommt: Ein Chief Information Officer (CIO) übersieht eine kritische Sicherheitslücke, weil er wegen anhaltender Betriebsstörungen unter Druck steht und die Prioritäten anders setzt. Der Chief Information Security Officer (CISO) ist ihm unterstellt, weshalb die Sicherheitsaspekte in den Hintergrund geraten sind. Wochen später führt dies zu einem Cyber-Angriff. Wäre der CISO direkt dem Chief Executive Officer (CEO) unterstellt gewesen, hätte man womöglich rechtzeitig Gegenmassnahmen ergreifen können.
Veränderte Anforderungen durch Megatrends
Das fiktive Beispiel zeigt: Megatrends wie Konnektivität, New Work und Sicherheit prägen die heutige Unternehmenslandschaft. Im Rahmen meines EMBA-Studiums haben wir uns intensiv mit diesen Entwicklungen befasst, um zu verstehen, wie Unternehmen ihre Strategien anpassen müssen, um wettbewerbsfähig zu bleiben. Diese strategischen Einsichten zeigen deutlich, wie wichtig eine unabhängige IT-Sicherheitsstruktur ist, um den steigenden Anforderungen gerecht zu werden und langfristig erfolgreich zu bleiben.
Unabhängige IT-Security für mehr Effektivität
Branchenexperten und Organisationen wie das NIST (National Institute of Standards and Technology) und der ISO/IEC 27001-Standard betonen die Bedeutung einer klaren Governance-Struktur und der Zuweisung von Verantwortlichkeiten, die am besten durch eine organisatorische Trennung von IT-Security und IT-Operations erreicht werden können.
Fazit: Der Schritt zur Trennung und meine Erfahrung
Die Entscheidung, IT-Security und IT-Operations zu trennen, war vor zwei Jahren ein entscheidender Schritt für das Unternehmen, in dem ich arbeite. Das eingangs erwähnte Beispiel zeigt deutlich, welche Konsequenzen es haben kann, wenn Sicherheitsfragen nicht die notwendige Priorität erhalten.
In unserem Unternehmen haben wir nach der Umstellung signifikante Fortschritte in der Sicherheit verzeichnet. Schwachstellen wurden schneller behoben, und die Effizienz beider Bereiche ist deutlich gestiegen.
Werden IT-Security und IT-Operations voneinander getrennt, können Sicherheitsrisiken minimiert und die Effizienz gesteigert werden (Bild generiert mit napkin.ai).