IT Security Management mit ITIL

Fazit

Informationssicherheit wird häufig als Kostenfaktor oder Behinderung für Business-Funktionen wahrgenommen. Mit ITIL setzen sich Business-Verantwortliche und IT-Leute an einen Tisch, um die Services für Informationssicherheit festzulegen. Das sollte sicherstellen, dass die Services mit den Geschäftszielen auf einer Linie liegen.

ITIL ermöglicht Organisationen, Informationssicherheit auf Grundlage von Best Practices strukturiert zu entwickeln und zu implementieren. Die für Sicherheit zuständigen Mitarbeiter der IT-Abteilung können damit planvoller arbeiten. Da ITIL zudem die Rollen und Verantwortlichkeiten für Informationssicherheit klar definiert, steht während eines Zwischenfalls sofort fest, wer zuständig ist.

ITIL etabliert dokumentierte Standards und Prozesse (zum Beispiel SLAs und OLAs), die sich überwachen lassen, und fordert regelmäßig Reports ein. Daher ist das Management sehr gut über die Effizienz der Sicherheitsprogramme informiert und kann fundierte Entscheidungen treffen. Da ITIL ständige Überprüfung erfordert, sorgt es dafür, dass getroffene Maßnahmen zur Informationssicherheit effektiv bleiben, selbst wenn sich Anforderungen, Umgebungen oder Bedrohungen ändern.

Das ITIL-Regelwerk sollte zudem die übereilte, unorganisierte Einführung von IT-Security-Maßnahmen verhindern, da es eine konsistente, messbare Strategie erfordert anstelle von „Feuerwehreinsätzen“ nach Sicherheitsvorfällen. (mje)