Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

20.09.2007

Gartner: Unternehmen brauchen eine strukturierte Security-Policy

Klar formulierte Sicherheitsrichtlinien, die alle Angestellten gleichermaßen ansprechen, sind nach Auffassung von Gartner-Analyst Les Stevens überlebenswichtig.

Stevens stellte auf dem Gartner IT Security Summit in London heraus, dass es für Unternehmen von höchster Bedeutung sei, die Schlüsselfaktoren zu kennen, die über Erfolg und Misserfolg eines Policy-Managements entscheiden. Viele Firmen lernten nicht aus Fehlern wie mangelhaftem Anforderungsmanagement und konzentrierten sich zu sehr darauf, es den Führungskräften recht zu machen oder den Kriterien von Security-Audits zu genügen. Dies laufe den unterschiedlichen Bedürfnissen der Unternehmen nach speziell zugeschnittenen Security-Policys zuwider. Stevens bemängelte die fehlende Unterstützung des Managements zur Ausarbeitung konkreter Richtlinien und die oftmals schlechte Kommunikation zwischen den Mitarbeitern, was Sicherheitsrisiken und -lösungen anginge. Stevens rief dazu auf, bestimmte Standards verpflichtend zu gestalten: "Konkrete Inhalte, für jeden verständliche Formulierungen, die klare Verteilung von Zuständigkeiten, eindeutig definierte Ziele bestimmter Regeln und greifbare Konsequenzen für diejenigen, die sich nicht an die Policy halten." Das Regelwerk müsse in die Unternehmenskultur hineinpassen und je nach Abteilung um bestimmte Punkte ergänzt werden. Es sollte - auch mit Hilfe von obligatorischen Audits durch externe Prüfer - regelmäßig aktualisiert werden. Der Gartner-Analyst schlug vor, dass CSO und CEO gemeinsam für die Entwicklung der Standards zuständig sind, während ein Sicherheitsgremium die anschließende Implementierung überwacht. (sh)

Newsletter 'Produkte & Technologien' bestellen!