The Global State of Information Security 2006

Der Teenager im CISO-Büro

03. November 2006
Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
IT-Sicherheit 2006: Statt umfassende Strategien festzulegen, verlieren sich CISOs in Alltagsroutine. Und ignorieren Compliance-Vorgaben. Die Analysten von PricewaterhouseCoopers halten CISOs schlicht für unreif.

An der Bürotür steht Chief Information SecuritySecurity Officer – und hinterm Schreibtisch hockt ein schwer pubertierender Teenager mit mürrischem Gesicht. Mit diesem launigen Bild umschreiben die Analysten von PricewaterhouseCoopers (PwC) den durchschnittlichen IT-Sicherheitsverantwortlichen. Alles zu Security auf CIO.de

Die Auswertung der knapp 8000 befragten Unternehmen in der Studie „The global state of information security 2006“ bringt ein uneinheitliches Bild der IT-Security-Praxis hervor. Dennoch lassen sich in der noch immer jungen Disziplin übergreifende Trends ausmachen. Und zumindest eines ist klar: Über zu wenig Geld können sich CISOs kaum beklagen. Hatte der Anteil vom IT-Budget, der in die Sicherheit fließt, 2003 noch elf Prozent betragen, liegt er jetzt bei 17 Prozent. Knapp die Hälfte der Befragten rechnet auch weiterhin mit steigenden Etats, jeder Fünfte sogar im zweistelligen Bereich. Damit wachsen die Budgets für diesen Teilaspekt schneller als die Etats für die IT allgemein. Übrigens bekommen IT-Sicherheitsverantwortliche im Zuge dessen auch immer mehr finanzielle Autonomie übertragen – für die Autoren der Studie ein Zeichen dafür, dass IT-Security langsam in ihrer strategischen Bedeutung begriffen wird.

IT-Sicherheit ohne C-Faktor

Das allerdings soll nicht darüber hinwegtäuschen, dass immer noch 64 Prozent der Unternehmen für die Sicherheit ihrer Informationstechnologie keine Position auf der C-Ebene, sprich: keinen CSO oder CISO, eingerichtet haben. Die Autoren der Studie wollten wissen, welcher Stellenwert der IT-Sicherheit zukommt und womit sich die Verantwortlichen hauptsächlich beschäftigen. Das Ergebnis halten sie für schwach: Nur jeder fünfte Befragte gibt an, die IT-Security auf die Geschäftsziele des Unternehmens abzustimmen.