Drahtlose Netzwerke und Sicherheit: Kein Widerspruch

Nicht zum Lachen
Die restliche Zeit der Besprechung mit dem SMT drehte sich um die „vernünftige und angemessene“ Nutzung von WLAN-Technologie. Das SMT stimmte zu, dass aus zwingenden Geschäftsgründen – Kosten und Mobilität – WLAN-Technologie weiterhin in ihren Geschäftsräumen genutzt werden sollte, jedoch nur geschehen, wenn die Daten gesichert werden könnten. Um dieses Sicherheitsrisiko sobald wie möglich anzusprechen, wurden wir gebeten, mit dem IT-Team zusammenzuarbeiten und das WLAN angemessen zu sichern.

Wie in den meisten Fällen, wenn man eine Sicherheitsanalyse auf Anforderung durch das SMT durchführt, ging es bei dieser Überprüfung in gleichem Maße um die Hauptmitglieder des IT-Teams wie um Netzsicherheit. In diesem Fall hielt der CEO den CIO, ein Mitglied des SMT, auf Distanz, um sicherzustellen, dass eine adäquate Trennung und Kontrolle ausgeübt wurde. War dies auch im besten Interesse des Kunden, so machte es die Situation für uns als Berater potenziell schwierig.

Laut den IT-Mitarbeitern führten die schwerwiegenden Ergebnisse, gekoppelt mit dem Ausschluss des CIO, zu einer Konfrontation zwischen CIO und CEO. Nach diesem Zusammenprall hatten wir eine Besprechung mit dem CIO und seinem Team, um die Sanierung der WLAN-Sicherheit anzugehen. Diese Besprechung war zwar für beide Parteien schmerzhaft, erwies sich jedoch als überraschend produktiv. Ohne den Aufbau gegenseitigen Vertrauens gab es jedoch keine Garantie dafür, dass diese Produktivität nachhaltig sein würde.

Einbindung des CIO in das Team
Nach der offiziellen Besprechung baten wir den CIO um ein Gespräch unter vier Augen, um die Analyse zu diskutieren, denn wir wollten die antagonistische Tendenz unserer Beziehung in ein vorteilhafteres Fahrwasser steuern. (Da ich in der Vergangenheit eine Organisation für Software-Entwicklung geleitet habe, die des öfteren von der FDA geprüft wurde, habe ich volles Verständnis für die Gekränktheit und das Gefühl der Entblößung, das man mitunter während einer Prüfungsbesprechung mit der Geschäftsleitung empfindet.)

Der CIO war erfreut zu hören, dass ein beachtlicher Anteil meiner Gespräche mit dem SMT sich um das WLAN-Problem als Beispiel tiefer gehender organisatorischer Probleme drehte – darunter die unzulängliche IT-Steuerung durch das SMT und das Fehlen eines offiziellen IT-Lenkungsausschusses. Und da er kürzlich die gleichen Themen angeschnitten hatte, fühlte sich der CIO in seiner Meinung bestätigt: Seine IT-Organisation war nicht konsequent in die Lage versetzt worden, mit Erfolg tätig zu sein.

Mit der Zeit bauten wir eine gute Beziehung mit dem CIO auf und etablierten unser Team als wichtige Ergänzung in den Sicherheitsbemühungen unseres Kunden. Hätten wir nicht die erforderlichen Schritte unternommen, um den CIO an Bord zu bringen, bleibt zweifelhaft, ob der Kunde die Mehrzahl unserer Verbesserungsvorschläge akzeptiert hätte.