Nach Angaben der Pepperdine University gehen fast 30 Prozent der Kosten, die durch verlorene Daten entstehen, auf menschliche Fehler zurück (dem gegenüber tragen Hardware-Fehler zu 40 Prozent der Kosten bei; Viren/Software-Korruption verursachen nur 19 Prozent der Kosten). Wie kann man also die Geschäftsführer dazu bringen, dass sie verstehen, dass Sicherheitsfragen und das „soziale, weiche“ Element der Problem-Bewusstseinsschärfung für das Unternehmen entscheidend sind? Und wie können Unternehmens-Geldkassetten für solche Investitionen geöffnet werden? Die ENISA-Veröffentlichung weist auf die Hindernisse und Herausforderungen hin, die sich beim Beschaffen von Unterstützung und finanziellen Mitteln bei der Führungsetage ergeben. Sie gibt praktische Hinweise wie man diese Probleme während der Planung und der Durchführung eines Informations-Sicherheitsprogrammes überwindet.
Fünf Bereiche sind entscheidend, um unternehmerische Investitionen im Sicherheitsbereich zu erwirken. Diese sind kurz zusammengefasst:
1. Definieren Sie Argumente für Investitionen und definieren Sie die korrekten Interessensgruppen.
2. Um ein Bekenntnis und Unterstützung zu erhalten, konstruieren Sie einen überzeugenden Business-Fall, welcher den Führungsstab den Wert einer Investition besser erkennen lässt.
3. Abschätzen der Programmkosten: dies ermöglicht Organisationen, die gängigsten Aufwendungen, die getätigt werden müssen zu identifizieren und grobe Finanzpläne zu erstellen
4. Verbinden Sie den Unternehmens-Umsatz mit der Informationssicherheits-Initiative! Definieren und kalkulieren Sie Ergebnis-Kennzahlen.
5. Planen Sie genau das Vorgehen wenn Sie dem Geschäftsführer in einem Führungsstab-Briefing gegenüber sitzen. Eine effektive Kommunikation ist entscheidend. Die richtige Information sollte zum richtigen Zeitpunkt, auf die richtige Art und Weise am besten mit sechs bis zwölf Monaten Vorlaufzeit an den Mann gebracht werden.
Der Geschäftsführer von ENISA Andrea Pirotti analysiert: „Den Geschäftsführern klar zu machen, dass Sicherheitsfragen entscheidend für das Unternehmen sind, sowie sich in der Zuständigkeit der Führung und nicht der Informations- und Kommunikationstechnologie befinden, ist ausschlaggebend und nicht nur eine belanglose Übung. Dies ist ein Leitfaden für die europäische Wirtschaft. Er zeigt auf wie man den Return-On-Investment im Thema Sicherheit befestigt und das Thema zu einer betriebswirtschaftlichen Angelegenheit macht."