3.3.2. Vorschlag zur Information-Security-Organisation

Eine notwendige Vorrausetzung zur Umsetzung der erarbeiteten Maßnahmen ist die organisatorische Unterfütterung. Diese hängt nicht nur vom organisatorischen Gefüge einer Unternehmung ab sondern vor allem auch davon, welcher Stellenwert das Top-Management dem Thema Informationssicherheit einräumt und welche finanziellen Mittel eingesetzt werden können. Natürlich wird dieser Stellenwert nicht zuletzt auch durch Unternehmens- und Compliance-Werte geprägt. Deshalb gibt es keinen allgemeingültigen Lösungsansatz. Um zunächst ein Gefühl für die notwendige Größe und Ausstattung der Organisation zu bekommen, wurden Vergleichszahlen aus einer aktuellen Benchmark-Studie herangezogen (Guevara, Hall, & Stegman, 2010). In dieser Studie wurden Zahlen zu den jährlichen Auswänden für IT-Security und Risiko-Management, der Verteilung des IT-Security Budgets, den Ausgaben für IT-Security pro Mitarbeiter und dem Personaleinsatz für IT-Security innerhalb der jeweiligen IT-Funktion bereitgestellt. Die Gegenüberstellung der Kernparameter der Studie gegenüber den ermittelten Zahlen in der Bayer China Limited (BCL) ist in Tabelle 5 dargestellt.

Tabelle 5: Vergleich der Aufwände für IT-Security der Bayer China Limited im Vergleich zu Gartner Benchmark Analysis von 2010 (Guevara, Hall, & Stegman, 2010).

Obwohl die Vergleichswerte für die Bayer China Limited mit einer gewissen Ungenauigkeit behaftet sind, ist dennoch ein klarer Trend erkennbar: Die Ausgaben der BCL liegen unterhalb des Benchmarks, vor allem für den Anteil der IT-Security Ausgaben im Gesamtbudget der IT-Kosten. Dies eröffnet einen finanziellen Spielraum, um z.B. Personal für die Funktion der Information-Security, aufzubauen.

Abbildung 6 zeigt den erarbeiteten Vorschlag zur Organisation, wobei die lokalen Strukturen und die Anforderungen der Geschäftsbereiche, aber auch der Spagat zwischen Serviceorientierung und IT-Governance Berücksichtigung finden.

Implementierung einer Information-Security-Organisation für die Gesellschaften des Bayer-Konzerns in der VR China." class="wp-image-10155 size-full" height="308" src="https://sgbs.ch/wp-content/uploads/Abbildung-6-Ansatz-zur-Implementierung-einer-Information-Security-Organisation-fur-die-Gesellschaften-des-Bayer-Konzerns-in-der-VR-China..png" width="557"> Abbildung 6: Ansatz zur Implementierung einer Information-Security-Organisation für die Gesellschaften des Bayer-Konzerns in der VR China.

Der Ansatz zeigt eine Gliederung der Organisation, Aufgaben und Verantwortlichkeiten in vier Ebenen. Wo immer es möglich war, wurden die definierten Funktionen vorhandenen Teilen der Organisation zugeordnet. Auf die der Rolle zugeschriebenen Verantwortlichkeiten nach RACI 7 wird in 3.3.2 eingegangen. Herz der vorgeschlagenen Organisation ist die ISO-Community. 8 Diese besteht aus einem konstanten Kreis von Personen der einzelnen Gesellschaften und wird vom darüber liegenden Layer, dem Security-Team unterstützt. Der ISO leitet und moderiert die ISO-Community und ist erster Ansprechpartner für die Businessfunktionen. Dieses Team erstellt in projektorientierter Zusammensetzung konkrete, organisatorische und technische Lösungen, testet und standardisiert kosten-effiziente Security-Lösungen.

Die Aufgabe des Security-Teams sind fest in der Implementierungs-Domäne „Solutions and Support“ verankert (siehe Kapitel 3.2.2). Im Falle von Unstimmigkeiten steht der ISO-Community der CIO 9 der Bayer China Limited als steuerndes Organ zur Verfügung, der die IT-Funktion über alle Gesellschaften leitet. Er kann in dieser Eigenschaft schlichtend eingreifen und strittige Punkte in Einklang mit der IT-Strategie bringen. Als höchstes Entscheidungsgremium sind die CAO 10 s der Teilkonzerne vorgesehen. Diesem Gremium werden in der Hauptsache im vierteljährlichen Rhythmus die durch die ISO-Community identifizierten Informationsrisiken als „Heatmap“ vorgelegt (s. Kapitel 3.4.3). Gemeldet werden nur die „Top-Risiken“ der Gesellschaften, stets mit einer klaren Empfehlung, wie dieses Risiko zu handhaben ist. Da die CAOs natürlich auch zahlreiche andere Aufgaben haben, ist eine prägnante und auf das wesentliche reduzierte Darstellung notwendig. Die CAOs greifen nicht in das Tagesgeschäft der Information Security ein, treffen und tragen aber notwendige Investitionsentscheidungen für die Risikominimierung. Ihr Ansprechpartner bleibt, wie auch in allen anderen IT-Belangen, der CIO. Durch dieses Reporting wird eine wichtige Brücke von Informations-Risiken und anderen Business-Risiken geschlagen. Informations-Risiken werden so mit einem möglichen Einfluss auf Umsatz, Budget oder Betriebskosten als Business relevante Größen fassbar.

⁷ Mit RACI wird eine Methode zur Analyse und Darstellung von Verantwor tlichkeiten bezeichnet. Die Begriffe leiteten sich aus den Anfangsbuchstaben der englischen Worte “Responsible, Accountable, Consulted and Informed“ ab.
⁸ ISO = Information Security Officier
⁹ CIO = Chief Information Officer
¹⁰ CAO = Chief Administration Officer