Exakt. Wenn man die Kosten und Reputationsschäden betrachtet, die im Zusammenhang mit IT-Sicherheitsheitsvorfällen entstehen können und die mit einer vernünftigen IT-Sicherheitsstrategie, -organisation und -integration häufig vermeidbar sind, dann wird man schnell feststellen, dass IT-Security zwar kostet, aber keine oder unzureichende IT-Security zu haben ist eben oft nochmal deutlich teurer.
Beispiele für solche Vorfälle wären:
*Unbefugter Download von Kundendaten, Passwörtern und gespeicherten Zahlungsinformationen
*Unberechtigter Download tw. noch unveröffentlicher Filme und Serien bei einem großen Produktionsstudio
*Gezielte Angriffe durch Schadsoftware auf IT-Infrastruktur beim Kraftwerksbetreiber
*Negative Publicity für einen PKW-Hersteller, weil sich dessen Fahrzeuge aufgrund unsicherer Daten-Kommunikation mit den eigenen Servern einfach durch Unbefugte öffnen lassen
*Kompletter Ausfall einer ganzen TV-Sendergruppe aufgrund eines Hackingangriffs einer islamistischen Organisation
(Ähnlichkeiten mit Vorfällen aus der jüngeren Vergangenheit sind beabsichtigt)
Und jetzt soll nochmal einer sagen, dass eine ungeputzte Toilette aufgrund des Fehlens einer adequaten Organisation von Reinigungskräften ähnlich große Schäden verursacht... :-)
Lounge Gast schrieb:
Als jemand der Info-Sec nah arbeitet, habe ich immer eine
kalte Wut um Bauch wenn so ein Argument gebracht wird ;).
Liegt meistens in der selben Liga wie die Aussage "Was
will ich denn mit IT, das soll funktionieren, wenn ich auf
den Knopf drücke".
Um es mal objektiv zu formulieren. Der Wert einer Einheit
oder Stelle für das Unternehmen ist je nach Branche,
Struktur, etc. stark unterschiedlich. Z.B. würde in der
selben Logik eine Rechtsabteilung primär Kosten verursachen
und nicht den Unternehmenswert steigern (es sei denn man ist
eine Kanzlei). Auf der anderen Seite sind
Reinigungsfachkräfte für z.B. Branchen in denen hochreine
Fertigungsmethoden angewendet werden evtl. ein sehr wichtiger
Assets für ein Unternehmen.
Was ein durchaus berechtigter Einwurf ist, ist dass IT-Sec in
den meisten Unternehmen ein Unterstützungsprozess ist (wie
auch die Rechtsabteilung, IT, etc.). Die Werthaltigkeit eines
solchen Prozesses für das Gesamtunternehmen zu ermitteln ist
häufig komplex.
Ich würde z.B. sagen, das ich durch meine Tätigkeiten gewisse
Prozesse gesichert habe die einem Umsatz von Milliarden Euro
generieren. Ohne mich hätte die Firma also einen immensen
Verlust. Also ist der Wert meiner Stelle = Milliarden Euro?
Umgekehrt könnte man auch sagen, es ist ja nichts passiert,
also war mein Wert = 0, bzw. sogar negativ, weil ich ja auch
noch Geld koste.
Und genau an dieser Stelle sollte jedes Unternehmen ein
anständiges Risikomanagement betreiben. Aussagen wie
"kostet ja nur und bringt nichts" deuten in meinen
Augen meistens auf nicht erkannte Risiken oder (fast noch
schlimmer) nicht verstandene Risiken hin. Akzeptiert hätte
ich ein "in unserem Unternehmen sehen wir IT-Sicherheit
als kein notwendigen Faktor für das Risikomitigation an, weil
... (Risiken a-z Kosten nicht rechtfertigen)". Erst
danach lässt sich der Wert einer solchen Stelle ermitteln.
Ich für meine Teile kann sagen, dass mein aktuelles
Unternehmen in der Finanz Branche IT-Sicherheit als relativ
wichtig für den Unternehmenserfolg hält. Das spiegelt sich
sowohl in der Größe des Teams, als auch in der Bezahlung
wieder.
Ich weiß aber genau so, das es Unternehmen gibt die diese
Aufgaben deutlich höher und auch deutlich niedriger gewichten.
antworten