Integration in der Praxis

In der Praxis könnte die Integration wie folgt aussehen: Aus den bestehenden Service-Management-Tools (wie CMDB – Configuration Management Data Base) werden Reports generiert, etwa zum aktuellen Stand aller Patches. Sind Systeme veraltet, veranlasst der zuständige Administrator die Aktualisierung. Dies geschieht im Rahmen des operativen Risiko-Managements respektive im "kleinen Risiko-Management-Kreislauf". Jede einzelne Abweichung soll und kann für sich allein nicht bis zum verantwortlichen Management durchdringen. Die Informationsflut wäre zu groß. Die Informationen müssen aggregiert werden und fließen erst bei Überschreitung eines definierten Schwellenwerts in den übergeordneten strategischen oder eben "großen"Risiko-Prozess ein.

Zum Beispiel könnte als Eskalationswert eine bestimmte Anzahl von Systemen mit veralteter Software sein, der Zustand einzelner kritischer Systeme oder Ähnliches. Die Schwellenwerte dienen einerseits als Input für den kontinuierlichen Verbesserungsprozess. Die Werte können aber gleichzeitig auch für die strategische Steuerung über den Risiko-Management-Prozess verwendet werden (siehe Grafik).

Dass eine Verknüpfung der verschiedenen Management-Systeme nicht immer ganz einfach ist, weiß Georges Mathis, CISO bei Reist Telecom: "Das Feintuning der Schwellenwerte ist knifflig. Es braucht genügend Informationstiefe, um eine Aussage zu machen, ohne jedoch das Management mit Details zu überfluten." Das Zürcher Unternehmen hat die Integration von IT-Service- und Security-Management bereits umgesetzt. Der Aufwand lohnt sich, meint Mathis, "da wir durch die ISO-20000-Zertifizierung bereits einen hohen Prozess-Reifegrad besitzen".

Durch die Verknüpfung der Prozesse des IT-Service- mit denen des Security-Managements sind die Schnittstellen und Verantwortlichkeiten klar definiert. Die beiden Disziplinen haben jedoch eine unterschiedliche Sicht auf die Risiko-Evaluierung und -Akzeptanz. Hier ist die Definition der Begriffe, das Aufzeigen von Gemeinsamkeiten und insbesondere die transparente Darstellung der unterschiedlichen Bedürfnisse wichtig. Nur so lassen sich allfällige Missverständnisse vermeiden.