"Wie ich lernte, Security Audits zu lieben" - zu solcher Poesie versteigen sich die Analysten im Untertitel ihrer Studie. Soweit braucht es ja nicht zu kommen, aber die Zahlen wirken überzeugend. So haben 58 Prozent der besonders erfolgreichen Firmen ("Best in Class") die Anzahl falsch-positiver Meldungen binnen Jahresfrist reduziert, was im Durchschnitt aller Unternehmen nur sechs Prozent von sich behaupten können.
Und während 28 Prozent der BiCs die Dauer für das Fertigstellen eines Audits verringern konnten, ist es im Schnitt gerade eins von hundert Unternehmen.
Außerdem wirkt sich das Abschneiden eines Betriebes in punkto Compliance finanziell aus. 44 Prozent der besonders erfolgreichen Unternehmen geben an, die Kosten im Zusammenhang mit Non-Compliance-Vorfällen gesenkt zu haben. Für 26 Prozent gilt das auch bei Sicherheitsvorfällen. Das vor dem Hintergrund, dass 48 Prozent der BiCs im vergangenen Jahr weniger Sicherheitsvorfälle hatten, während im Durchschnitt aller Befragten sieben Prozent einen Anstieg verzeichneten.
Für die Analysten sind diese Unterschiede vor allem eine Frage der inneren Einstellung. Sie haben sich nach den Treibern für Compliance (bezogen auf das Thema Sicherheit) erkundigt und stellen fest, dass besonders erfolgreiche Firmen mit 65 Prozent an erster Stelle interne Policies nennen. Damit liegen sie 23 Prozent über dem Schnitt aller Befragten.
Das Unternehmen und seine Marken zu schützen, steht mit 52 Prozent der Nennungen (Durchschnitt: 51 Prozent) auf Rang zwei.
Compliance als IT-Strategie
Auffallend ist wiederum, dass Vorgaben des Gesetzgebers für BiCs weniger relevant sind als die zitierten internen Policies, sie stehen mit 48 Prozent auf Platz Drei. Die meisten Unternehmen zeigen jedoch weniger Eigeninitiative, sondern reagieren stärker auf Druck vom Gesetzgeber, so dass dieser Punkt im Schnitt von 53 Prozent aller Befragten genannt wird und damit, anders als bei den gesondert ausgewerteten Erfolgs-Firmen, vorn liegt.
Die Analysten interpretieren die Ergebnisse dahingehend, dass Compliance für Best-in-Class-Firmen eine Strategie ist, während die meisten Unternehmen noch immer die Praxis pflegen, nur dort Insel-Lösungen zu implementieren, wo unbedingt nötig. Auch dazu ein paar Zahlen: Fast jede zweite BiC-Firma (47 Prozent) gibt denn auch an, Compliance sei ein unternehmensweites Anliegen und damit Teil einer integrierten Sicherheits- und Compliance-Strategie. Im Schnitt nimmt das nur gut jeder dritte Betrieb (34 Prozent) für sich in Anspruch.
Einer der Befragten erklärte den Analysten denn auch: "Man hat mich gefragt: 'Sind wir compliant?' und ehrlicherweise musste ich auch mir selbst eingestehen, dass ich es nicht wusste. Am Dienstagnachmittag um drei waren wir es, aber wer weiß schon, was seitdem passiert ist?"
Damit CIOs das künftig eben wissen, hat Aberdeen die besonders erfolgreichen Firmen nach dem Einsatz von Technologien befragt und die Angaben wiederum mit denen der anderen Studienteilnehmer verglichen. Demnach arbeiten 80 Prozent der BiCs mit Patch Management, im Schnitt sind es 74 Prozent. Database Monitoring und Auditing gibt es bei 69 Prozent der BiCs und bei 44 Prozent des Durchschnitts. 67 Prozent der BiCs kontrollieren die Zugänge zu den Netzwerken, aber nur 45 Prozent aller Befragten.
64 Prozent der BiCs haben Configuration und Change Management implementiert, im Schnitt sind es 56 Prozent. Und während 63 Prozent der Vorreiter mit Vulnerability Management arbeiten, sind es nur 55 Prozent aller Studienteilnehmer.
Best Practices
Die Analysten leiten aus ihrer Studie folgende Tipps ab:
-
Wenn Compliance nicht mehr eine endlose Kette von Einzelprojekten sein soll, sondern nachhaltig zur Verbesserung der Geschäftsprozesse beitragen muss, liegt der erste Schritt im Standardisieren von Audits, Analysen und Reportings.
-
Nicht die Mitarbeiter vergessen. Ein Bewusstsein für Compliance kann nur über Trainings erreicht werden.
-
Update- und Patch Facilities gehören ins gesamte Unternehmen.
Aberdeen hat für die Studie "Sustaining Compliance - how I learned to stop worrying and love the security audit" mit Entscheidern aus 190 Unternehmen gesprochen.