Innovation heisst in den meisten Fällen auch, dies schnell umzusetzen, bevor jemand anderes noch innovativer ist. In vielen Firmen verhindert die IT Security jedoch, das pragmatische und schnelle Vorgehen. Wie erreichen Sie trotzdem Ihr Ziel?
Die Innovative Idee zuerst
Sie haben eine durchschlagende innovative Idee! Egal ob es nun ein neues Portal oder sogar EcoSystem wird. Egal ob es sich um eine neue Blockchain Lösung handelt. Egal ob Sie die Welt mit möglichen künstliche Intelligenz Ideen verbessern wollen. Bevor diese jemand anderes auch oder sogar noch eine bessere findet, heisst es nun schnell umsetzten. Dieser Blog hilft Ihnen die Innovation, trotz IT-Sicherheitsbedenken, durch die Geschäftsleitung zu bringen.
Ein CISO sieht rot
Den mit Ihrem Vorschlag in der Geschäftsleitung heisst es plötzlich. STOP! Der CISO (Chief Information Security Officer) der Firma, der meistens auch in der Geschäftsleitung sitzt oder angesiedelt ist, sieht bei Ihrer Innovation nur noch rot. Die Innovation läuft in der Cloud?! Sowas geht gar nicht für die Sicherheit. Wo liegen dann auch unsere Daten. Sowas ist nicht kontrollierbar. Heisst es von seiner Seite. Und somit ist Ihre innovative Idee auch schon fast vom Tisch. Doch halt, hätten Sie es von Anfang an anders angegangen, wären Sie deutlich weiter und hoffentlich bis zum Ziel gekommen.
Verständnis für die IT Sicherheit
Um zu verstehen, wieso ein CISO oder eine IT Security Abteilung so reagiert, schauen wir kurz auf die IT Security Abläufe und Prozesse Ihrer Firma. Keine Angst, Sie müssen sich nicht irgendwelche Theorien über ISO 27001 und ähnlich Zertifizierungen über sich ergehen lassen. Aber der Ansatz dieser Zertifizierungen ist gar nicht so falsch. Bei der Grundschutzmodulation tauchen in einer Firma Sicherheitslücken auf, die nie so offensichtlich klar wurden. Diese werden in einer Risikoanalyse und einem sogenannten Grundschutzkatalog geführt. Gemeinsam mit der Geschäftsleitung wird dieser auf mögliche Ausfälle, Schäden und daraus resultierende Gefährdungen eingeschätzt. Daraus resultieren nach einer speziellen Gewichtung, mögliche Investitionen welche die IT Sicherheit erhöhen wird. Und schlussendlich darf, gut eher muss, der CISO vor der Geschäftsleitung aufzeigen, dass alles Mögliche für die IT Sicherheit getan wurde.
So erreichen Sie Ihr Ziel
Nun kommt eine neue Innovation daher, die weder bei der Grundschutz Modulation noch im Grundschutzkatalog je aufgeführt wurde. Logisch reagiert ein CISO sofort auf Abwehr. Wenn jeder mit Innovationen und neuen Technologien daherkommt, die an der IT Sicherheit vorbeigehen könnten. Dann steht im schlimmsten Fall eines Tages der Betrieb still oder vertrauliche Daten Ihrer Firma sind im Internet zu finden. Und wer wird als erstes bei einem solchen Szenario aufgeboten? Richtig, der CISO. Beachten Sie dies daher bei Ihrem Innovationsvorschlag.
„Wer sichere Schritte tun will, muss sie langsam tun.“
– Johann Wolfgang von Goethe, deutscher Dichter und Naturforscher
Und nun zurück zur Anfangsfrage, wie erreichen Sie trotzdem Ihr Ziel?
Nachdem Sie Ihre mögliche Innovation ausgearbeitet haben, suchen Sie das Gespräch mit Ihrem CISO und erklären Sie Ihr Vorhaben und Ihre Innovation. Zeigen Sie mögliche Sicherheitsbedenken auf und was dagegen evtl. getan werden kann. Finden Sie gemeinsam mögliche IT-Sicherheitsmechanismen, die Ihre Innovation schützen könnte. Bitten Sie Ihren CISO um Hilfe, bei der Unterstützung in der Geschäftsleitung. Holen Sie sich allfällige IT Sicherheitsspezialisten an Bord, die Bedenken ausräumen können. Und überzeugen Sie die Geschäftsleitung auf ganzer Linie, unter Einbezug dieser Leute, dass diese Innovation das Geschäft weiterbringen und Erfolg haben kann.
Sie werden dadurch mehr Erfolg mit Ihrem Innovationsvorschlag haben, auch wenn es ein paar wenige Runden länger dauert.
Weiterführende Links
IT-Grundschutz Kompendium
Interview mit Shamla Naidoo, Global CISO at IBM