Gartner Summit: Sollen Security-Manager IT-Vorfälle geheim halten?

Was sind Erfolgsfaktoren für Security-Manager? Gestern gingen die Teilnehmer des Gartner Security and Risk Management Summit dieser Frage nach. Höhere Anforderungen haben laut Gartner oft eine lähmende Wirkung auf Security-Manager. Wie können diese also wieder handlungsfähig werden?  Relevant sind hierbei laut Gartner insbesondere folgende Fragen: Was besitzt Priorität? Auf welche Herausforderung könnte man stoßen? Was ist machbar?

Die Gartner Analysten empfehlen, dass Security-Manager jede entsprechende Initiative immer aus einer unternehmensweiten Perspektive betrachten:

Katell Thielmann, Research Vice President bei Gartner, sagt dazu:

„Schon wenige Key-Practices können dazu beitragen, Herausforderungen zu meistern,“ erklärt. „Zuerst ist es wichtig, dass Verantwortlichkeiten geschaffen werden und Aufgaben und Zuständigkeiten klar geregelt sind. Zudem sollte das Unternehmen auflisten, welches die größten Bedrohungen für das Unternehmen sowie für sämtliche Geschäftsbereiche des Unternehmens sind. Abschließend sollten diese Bedrohungen direkt und eindeutig den Unternehmenszielen zugeordnet und abschließend beurteilt werden.“

Sicherheitsvorfälle öffentlich machen?

Gartner beschäftigt sich außerdem mit der Frage, wann und auf welche Weise eventuelle Sicherheitsvorfälle im Unternehmen öffentlich gemacht werden sollten. Craig Lawson, research vice president at Gartner, hat folgende Meinung dazu:

 “Last year, more than 15,000 vulnerabilities were disclosed publicly. A small portion of those were rated as a critical severity and posed an urgent threat. Often there is still some time to assess the situation and respond with care. But sometimes these threats are immediately elevated to critical importance because of the hype they receive in the mainstream media.”

Diese Frage stellt sich in Europa seit kurzem nicht mehr

In Europa stellt sich diese Frage seit der Einführung von DSGVO nicht mehr: IT-Vorfälle, die sensible Daten betreffen, müssen innerhalb von 72 Stunden gemeldet werden – zwar vorrangig an die Betroffenen und die Behörden. Bei größeren Vorfällen mit etwa tausenden betroffenen Online-Kunden dürfte der Weg, die Betroffenen zu informieren, allerdings meist über die Medien führen. Und ich bin hier durchaus der Meinung, dass  es positiv ist, wenn große Sicherheitsvorfälle nicht mehr geheim gehalten werden können. Hier sehe ich eine größere Gefahr, als dass unnötiger Hype durch die Medien produziert wird.

Kommentare sind sehr willkommen

This site uses Akismet to reduce spam. Learn how your comment data is processed.