Back-to-School: Aus dem Klassenzimmer vom CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Responsibility / Verantwortlichkeit

Der Begriff der Verantwortlichkeit wird im Themenbereich der IT-Sicherheit nicht zuletzt im Zusammenhang mit IT-Governance durch die Unternehmensleitung verwendet. Die Wahrnehmung der Verantwortung ist für die Sicherstellung vieler Projekte und IT-Kontrollzyklen zentral. Oftmals treten Probleme mit der klaren Zuordnung der Rollen, wie Verantwortlichkeit und Zuständigkeit auf; insbesondere dann, wenn unterschiedliche Organisationseinheiten von Initiativen, Prozessen oder Projekten betroffen sind und nicht selten unterschiedliche Interessenlagen bestehen. Auch Informationsmängel und Kommunikationsprobleme treten bei bereichsübergreifenden Problemstellungen (wie unter anderem auch bei Sicherheitsfragen) oftmals auf. Eine fehlende klare Zuordnung der Verantwortlichkeit kann, wie die Analyse vieler Beispiele zeigen würde, desaströse Folgen haben.

Informationssicherheit-Verantwortlichkeit: RACI

Ein Lösungsansatz, um die verschiedenen Rollen zu veranschaulichen ist der sogenannte RACI-Chart. Mit RACI (auf Deutsch auch AKV: Aufgaben, Kompetenzen, Verantwortlichkeiten) wird eine Technik zur Analyse und Darstellung von Verantwortlichkeiten bezeichnet. Organisationen nutzen RACI, um zu beschreiben, welche Rolle für welche Aktivitäten in einem Prozess oder in einem Projekt verantwortlich ist, und welche Rollen wie zu beteiligen sind. So kann man zu einer für alle Beteiligten klaren Beschreibung der Verantwortlichkeiten und Zuständigkeiten gelangen.

Informationssicherheit -Verantwortlichkeit: Glossar

Die verwendeten Begriffe stehen für: Responsible – verantwortlich (Durchführungsverantwortung), zuständig für die Durchführung der Aufgabe, des Projekts. Verantwortung für Initiative zur Durchführung (i.d.R. durch Andere). Die Person kann die Aktivität auch selbst durchführen. Wird auch als Verantwortung im disziplinarischen Sinne interpretiert. Accountable – rechenschaftspflichtig (Kosten-, bzw. Gesamtverantwortung), verantwortlich im Sinne von „bewilligen“. Die Person, die im rechtlichen Sinne beauftragt ist. Consulted – Wer wird zur Durchführung der Aufgabe befragt? Hier handelt es sich oft um externe Experten oder Dritte, die nicht direkt an der Durchführung beteiligt sind, die jedoch beratend zur Seite stehen. Informed – Anrecht auf Information. Wer wird über die Ergebnisse der Aufgabe informiert? Hier findet in der Regel keine zweiseitige Kommunikation statt, sondern es werden lediglich Informationen übertragen. Es wird empfohlen, pro Aktivität nur eine Person (Rolle) accountable und responsible festzulegen. Dagegen können problemlos mehrere Personen bei einer Aktivität consulted oder informed sein. Ebenso kann es vorkommen, dass eine Person für eine Aktivität gleichzeitig accountable und responsible ist. Wenn für eine Aktivität eine Zuordnung fehlt, wird dies als «Lack of responsibility» bezeichnet. Bei RACI-Charts sollte eine vernünftige Menge an Rollen angestrebt werden. Aus politischen Gründen könnte die Gefahr bestehen, dass unnötig viele Beteiligte eingetragen werden, um niemanden „wegzulassen“. Umgekehrt benötigt ein Prozess oder Projekt auch einen ausreichend starken Einbezug von relevanten Personen im Unternehmen.

Informationssicherheit-Verantwortlichkeit: RACI die Vorteile

Die wichtigsten Vorteile der RACI-Matrix liegen darin, dass sie die Beteiligten und Verantwortlichen übersichtlich grafisch darstellt. Zudem verbessert sie die Kommunikation im Projekt. Die Wahrscheinlichkeit, relevante Ansprechpartner zu vergessen, wird reduziert. Rollen und Verantwortlichkeiten werden – im Idealfall – unmissverständlich geklärt. Missverständnisse und potenzielle Konflikte durch unklare Erwartungen können reduziert werden.

Informationssicherheit-Verantwortlichkeit: Tipps

• In jeder Zeile sollte ein einziger Verantwortlicher (R) genannt werden. Sind mehrere Personen verantwortlich, geht zu viel von der klaren Verantwortlichkeitszuordnung verloren.
• Wurden doch mehrere Verantwortliche (R) pro Zeile zugeordnet, sollte über eine Aufteilung der Aufgabe nachgedacht werden.
• Falls eine Spalte (Rolle) zu viele A’s und R’s hat, ist dies ein potenzieller Engpass. Es sollte geprüft werden, ob auf dieser Rolle zu viel Verantwortung lastet.
• Enthält eine Rolle kaum Zuordnungen, kann darüber nachgedacht werden, ob sie überhaupt eingebunden werden muss.

Varianten der RACI-Matrix sind (nicht abschliessend): Die Standard- Matrix wird um „Support“ ergänzt, also Personen, die bei der Durchführung einer Aufgabe unterstützen.

Informationssicherheit-Verantwortlichkeit: RACI-VS

RACI-VS: Hier gibt es noch zwei weitere Bereiche. Wenn einer Rolle ein verify zugeordnet wird, soll diese überprüfen, ob die definierten Produkteigenschaften wie gewünscht umgesetzt wurden. Signatory bedeutet, dass eine Person das „Verify“-Ergebnis absegnet. Im Vergleich zum Standard-RACI werden also Prüfschritte eingebaut.

Informationssicherheit Verantwortlichkeit: RACI und CAIRO

CAIRO (auch RACIO): Ähnlich dem Standard-RACI, ergänzt um omitted. Beteiligte werden bewusst von einer Aufgabe ausgeschlossen.

---

Blogpost wurde erstelle von Christian Bieri im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.