Das Dilemma der richtigen IT-Prioritäten

Viele CIOs stecken in der Zwickmühle: Investieren Sie viel in IT-Security, reicht das Geld womöglich nicht für Projekte, die das Business fordert. Was tun? [...]

(c) pixabay.com

Wollen Sie als CIO überleben? Dann müssen Sie die richtigen Prioritäten setzen. Und für die meisten CIOs sind die fünf wichtigsten Prioritäten derzeit:

IT-Security

IT-Security

IT-Security

IT-Security

Und nicht zu vergessen: IT-Security

Sicherheit ist für den CIO von heute ein zweischneidiges Schwert. Einerseits ist die Unterinvestition in IT-Security gefährlich. In der Vergangenheit bedeuteten zu geringe Investitionen in die Sicherheit, dass Unternehmen ein höheres Angriffsrisiko in Kauf nahmen, was zu erheblichen finanziellen Einbußen führen konnte. Ransomware hat das Spiel jedoch verändert. Wer heute zu wenig in IT-Security investiert, nimmt ein höheres Risiko in Kauf, ganz aus dem Geschäft zu fliegen.

Das wahre Risiko des IT-Managements

Die andere Schneide des Schwerts sind Unterinvestitionen in IT-getriebene, neue Business-Initiativen. Etwa durch die Digitalisierung, bei der es um den Einsatz von Informationstechnologien geht, um Umsätze zu steigern und Wettbewerbsvorteile zu erzielen. Wenn Sie hier zu wenig investieren, werden aggressivere Konkurrenten mit der Zeit Ihr Unternehmen auffressen. IT-Manager stecken also in der Zwickmühle: Sie riskieren, mit einem einzigen Schlag aus dem Geschäft zu fliegen, oder Sie riskieren einen schleichenden, aber ebenso tödlichen Verlust von Kunden, Marktanteilen und ihrer Bedeutung.

Hinzu kommt die Maxime des Risikomanagements: Erfolgreiche Prävention basiert auf der Senkung der Eintrittswahrscheinlichkeit eines Risikos. Das bedeutet auch, dass Ihnen und Ihrem Team niemand zu einer gut gemachten Arbeit gratulieren wird. Ebenfalls wird niemand fragen, welche Unterstützung Sie benötigen, um das Unternehmen weiterhin sicher zu halten. Schließlich ist jedes Jahr, in dem Ihre Security-Maßnahmen erfolgreich sind, ein weiteres Jahr, in dem die IT-Budgetverantwortlichen davon überzeugt sind, dass Sie die Risiken überbewertet haben. Wenn Sie mir nicht glauben – erinnern Sie sich an das Jahr-2000-Problem. Da ist das Risiko nach Meinung vieler schließlich auch stark überbewertet gewesen.

IT-Prioritäten: Drei Alternativen

Aber Sie müssen nicht gleich die Flinte ins Korn werfen. Sie haben Alternativen. Einige sind verlockender als andere, aber alle sind besser, als aufzugeben. Nennen wir die erste Alternative „NoSuch„-Manöver, kurz für „There’s No Such Thing as an IT Project“ – eine Erkenntnis, für die Sie sich mit oder ohne Herausforderungen der Informationssicherheit stark machen sollten.

Hinter „NoSuch“ steht der Gedanke, dass so genannte „IT-Projekte“ in Wirklichkeit Ansätze sind, einen Teil des Unternehmens anders und besser laufen zu lassen. In diesem Fall sollte die Finanzierung dieser Nicht-IT-Projekte auch nicht aus dem IT-Budget erfolgen. Sie sollten von den Fachbereichen finanziert werden, die von den Auswirkungen profitieren. Auf diese Weise konkurriert die Finanzierung der Projekte nicht mit der IT-Abteilung um das Budget, das dringend für die Informationssicherheit benötigt wird.

Rückbuchungen auf die Fachbereiche

Wenn das Management Ihres Unternehmens einen traditionelleren Ansatz für die Beziehung zwischen IT und Business verfolgt, können Sie ebenfalls verhindern, dass die Informationssicherheit mit Fachbereichen um Ressourcen konkurriert. Durch den bewährten Mechanismus der Rückbuchung werden Kosten für die Anwendungs-Services der IT auf Business Units verlagert, die das, was die IT entwickeln und implementieren soll, auch nutzen werden.

Der Unterschied zwischen Rückbuchungen und dem NoSuch-Manöver ist subtil, aber wichtig: Wenn es so etwas wie ein IT-Projekt nicht gibt, ist die IT in den geschäftlichen Wandel als Vorreiter bei der Identifizierung und Förderung von Möglichkeiten sowie als gleichberechtigter Mitstreiter bei deren Umsetzung eingebunden. Stellt jedoch die IT ihre Dienste in Rechnung, gibt sie ihre Führungsrolle bei der Identifizierung strategischer Chancen und der Verwirklichung einer geschäftlichen Transformation auf. Stattdessen wird die IT zu einem Befehlsempfänger degradiert.

Plan C: Geben ist seliger als Nehmen

Hier ist eine weitere Möglichkeit: Schlagen Sie vor, die Verantwortung für die Informationssicherheit an eine Gruppe zu übertragen, die nicht Ihnen unterstellt ist. Die besten potenziellen Opfer Kandidaten sind die Abteilung für Unternehmens-Risikomanagement (ERM) oder derjenige, der für die Planung der Business Continuity zuständig ist. Nennen Sie es das SEP-Gambit: Someone Else’s Problem, das Problem eines anderen.

Für das Unternehmen als Ganzes bringt es auf den ersten Blick wenig, aber aus Ihrer egoistischen Perspektive hat es eine Menge Vorteile, wenn ein anderer die Last der Security tragen darf. Darüber hinaus bietet der Schritt tatsächlich einen gewissen geschäftlichen Nutzen. Denn durch die neue Zuweisung der Verantwortung für die Informationssicherheit kann der Nachfolger die Notwendigkeit zusätzlicher Finanzmittel hervorheben und den üblichen Klagen darüber ausweichen, dass die IT eine Kostenfalle sei.

Sicherheit ist keine Option

Diese drei Alternativen – das NoSuch-Manöver, die Rückbuchungen und das SEP-Gambit – haben das gleiche Ziel: Es soll vermieden werden, dass die Informationssicherheit und Investitionen in neue Business-Funktionen um die Zeit und Aufmerksamkeit der Führungskräfte konkurrieren, was sich direkt auf die Finanzierungsentscheidungen auswirkt. Diese Fähigkeit, die Aufmerksamkeit der Entscheidungsträger auf die richtigen Ziele zu lenken, ist für den Erfolg eines CIOs von zentraler Bedeutung.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation cio.com

*Bob Lewis ist Management- und IT-Berater bei einem großen globalen IT-Dienstleistungsunternehmen. Die in dieser Kolumne geäußerten Ideen und Meinungen sind ausschließlich seine eigenen.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*