Buchbesprechung
Metriken – der Schlüssel zum erfolgreichen Security und Compliance Monitoring
Vieweg+Teubner Verlag, Wiesbaden
2011
136 Seiten
ISBN 978-3-8348-11480-7 € 39,95
"You can't manage what you can't measure" – das mag eine Binsenweisheit der Managementlehre sein, stößt aber in der Praxis oft noch auf Aktionismus oder Ratlosigkeit. Alle anerkannten Ansätze zur Beherrschbarkeit der IT – COBIT, ISO27x, COSO usw. – fußen auf dem Einsatz von Metriken, z.B. im bekannten PDCA-Zyklus im Abschnitt "C" wie Check. Diese Anforderung umzusetzen und keine unverständlichen Zahlenfriedhöfe entstehen zu lassen, ist ein typisches Problem der operativen wie strategischen Praxis.
Hierzu Klarheit und praktische Hilfe zu schaffen, hat sich die Autorin zum Ziel gesetzt. Und um nun das Pferd von hinten aufzuzäumen: Der schnelle Leser wird als Erstes begeistert sein über die reichhaltige Menge an Mustermetriken, die das letzte Kapitel des Buches bilden. Nicht weniger als 106 beispielhafte Metriken, unterteilt in 11 fachliche Abschnitte, verwöhnen den Suchenden mit Messformen für alle Problemstellungen. Insgesamt hat das Buch 136 Seiten und 19 Abbildungen.
Der gründliche Leser weiß jedoch, dass eine solche Sammlung zwar sehr hilfreich ist, aber nur dann sinnvoll eingesetzt werden kann, wenn auch das notwendige Verständnis für Aufbau und Zielstellung vorhanden ist. Da setzt das Buch an und führt den Leser über mehrere Stationen zur vertieften Kenntnis der Materie. Dabei hat die Autorin von vornherein das Zielgebiet abgesteckt: Security und Compliance. Security mag ja manchem IT-Kundigen schon ein geläufiger Terminus sein, aber Compliance und Metriken wird nicht jeder sofort zusammenbringen. Dazu zeigt die Autorin auf, dass Security und Compliance keine feindlichen Brüder sein müssen, sondern in einem effizienten Managementsystem aufeinander aufbauen.
In den ersten Kapiteln werden zunächst die Begriffe geklärt, um Grenzen für das Thema zu setzen. Sehr wohltuend ist der Abschnitt "Monitoring versus Audit", der in Zeiten der "Continous-Auditing"-Mode den ein wenig unscharfen Audit-Begriff abgrenzt. Dabei wird der Bogen von den ISO-Standards bis zum IDW (Institut der Wirtschaftsprüfer) gespannt.
Danach werden die verschiedenen Ansätze für Metriken anhand von Compliance-Vorgaben erläutert und ausgewogen verteilt auf nationale und internationale Gesetze und Standards diskutiert. Dieser Teil ist insbesondere wichtig für den Leser, der sich im Dschungel der Vorschriften, die recht unterschiedliche Bindungskraft von Gesetz bis Best Practice haben, zurechtfinden muss. Dabei hilft auch eine große Matrix (Tabelle 7), die nationale und vor allem internationale Standards in Beziehung zu den hauptsächlichen Branchen setzt und deren Relevanz jeweils wertet.
Die nächsten vier Kapitel sind ganz der Methodik und den Vorgehensweisen im Zusammenhang mit Metriken gewidmet. Eine Methode – Goal-Question-Metrics (GQM) – wird dabei konsequent durchexerziert, sodass der Leser diese Methode im eigenen Umfeld anwenden kann. Die einzelnen Schritte bei der Verwendung einer Metrik, von der Datenerhebung bis zur abgeschlossenen Analyse, werden ebenfalls aufgezeigt. Dabei nimmt das Reporting einen wichtigen Platz ein, da auch ausgefeilte Metriken nicht recht wirken können, wenn keine adäquate Vermittlung an die Empfänger unterschiedlicher Ebenen innerhalb oder außerhalb des Unternehmens stattfindet. In diesem Zusammenhang wird auch beispielhaft ein Tool dargestellt, einmal in tabellarischer, einmal in grafischer Form (als "Dashboard").
Ein anderer deutlich aufgezeigter Zusammenhang wird für "IT-Kontrollen" und Metriken entwickelt. Dazu wird ein 7-stufiges Modell präsentiert, in dem die Metriken bei der Gestaltung von IT-Kontrollen in bestimmten Phasen eine primäre oder sekundäre Rolle spielen. Dieses Modell lehnt sich an die Grundgedanken von COSO bzw. COBIT an, ohne unmittelbar Einzelaspekte zu übernehmen.
Das Buch wird aufgelockert durch den einen oder anderen Exkurs, der Einzelaspekte zum besseren Verständnis vertieft. So wird der scheinbar selbstverständ- lichste Begriff von allen diskutierten – das Wort "Messen" – einmal streng normativ aufgenommen und von "Prüfen" und "Bewerten" abgegrenzt, ebenfalls mithilfe der deklarierenden Norm.
Zu guter Letzt: Auch ein Insider-Cartoon darf nicht fehlen, der die manchmal schon recht schräge Wirklichkeit noch ein wenig überspitzt.
Für wen ist dieses Buch nun empfehlenswert:
- in jedem Fall für IT-Controller zur Positionsbestimmung und Anreicherung der bereits vorhandenen Ansätze zur Metrik;
- für Compliance- und Security-Manager, die ihre Arbeit anhand relevanter Messgrößen verifizieren möchten;
- für Revisoren und Auditoren jeglicher Ausrichtung, bei denen das Verständnis für aussagekräftige Maßgrößen sowohl die Bewertung der geprüften Prozesse erleichtert als auch Anregung zur folgenden Empfehlung sein kann.
Dipl.-Kfm. Michael Neuy
CISA, CIA, CISM, CRISC
ISMS-Auditor (IRCA), CP ONR49003
GEZ Gebühreneinzugszentrale
michael [dot] neuy [at] gez [dot] de
