Aufgabe und Ziel eines IT-Risk-Management-Systems ist es, die Sicherheit und Existenzfähigkeit einer Organisation zu gewährleisten. In kaum einem anderen Gebiet der Informationstechnologie besteht dabei ein größerer Zwiespalt zwischen Aufwand und Kosten. Darauf hat jetzt die Experton Group in einer Analyse zum IT-Risk Management hingewiesen.

Datenschutz ist ja eher ein dröges Thema. Dennoch sollten sich Verantwortliche unbedingt damit beschäftigen, fordert die TÜV-Süd-Datenschutzstudie 2012. Für ein wirksames Datenschutz-Management muss laut den Security-Experten das Thema Datenschutz bei der Geschäftsführung regelmäßig auf der Tagesordnung stehen.

In manchen IT-Abteilungen hält sich hartnäckig der Gedanke, mit der Virtualisierung habe sich das Thema Verfügbarkeit erledigt. IT-Verantwortliche glauben oft tatsächlich, dass eine virtualisierte IT-Lösung automatisch Hochverfügbarkeit garantiert. In einer Studie von Stratus zusammen mit dem Marktforschungsunternehmen ITIC waren 79 Prozent der befragten IT-Experten überzeugt, dass Virtualisierungssoftware die für kritische Anwendungen nötige Verfügbarkeit bereitstellen kann.

Damit ein CIO oder CISO eine Führungsrolle übernehmen kann, muss er eine klare Vorstellung von der Sicherheitslage des Unternehmens haben. Ebenso muss er die Fähigkeit besitzen, die Relevanz von Sicherheitsthemen an den Vorstand zu kommunizieren. CISOs müssen gewährleisten, dass jedes Sicherheitsprojekt Bezug nimmt auf die strategischen Unternehmensziele. Die Ziele müssen präzise sein, wenn es darum geht, Entscheidungen über die Investitionen in Informationssicherheit zu treffen, die sie autorisieren und unterstützen müssen.