Alleine die schiere Zahl von Compliance-Vorschriften und die Konsequenzen, die sich aus ihrer Nichteinhaltung ergeben, haben das Thema IT-Sicherheit förmlich in die Vorstandsetagen katapultiert. Knapp zwei Drittel der Befragten nannte die Einhaltung von Vorschriften wie Sarbanes Oxley, die achte EU-Direktive oder die Basel-II-Regularien als wichtigsten Treiber für die IT-Security.
In den zurückliegenden zwölf Monaten hatte das Thema Compliance für 61 Prozent der Befragten die größte Bedeutung. Für 53 Prozent war die Abwehr von Malware das Sicherheitsthema Nummer eins. Bei der Beantwortung der Frage waren Mehrfachnennungen möglich.
Trotz des hohen Stellenwerts, den Compliance inzwischen hat, ist die Umsetzung einer entsprechenden Policy bislang eher konventionell. 88 Prozent der Befragten wollen ihre Sicherheitsrichtlinien den aktuellen Gegebenheiten anpassen. Knapp zwei Fünftel wollen ihre IT-Sicherheitsfunktionen von Grund auf reorganisieren. Eine etwa gleich hohe Zahl will die interne Sicherheitsarchitektur ändern. So sollen interne Kontrollregularien und Compliance-Vorschriften in Übereinstimmung gebracht werden.
Risiken bei der Nutzung mobiler Geräte werden unterschätzt
Die Nutzung mobiler Technologien gehört in vielen Unternehmen mittlerweile zum Alltag. Steigende Nachfrage und sinkende Kosten werden die Verbreitung mobiler Geräte zudem weiter fördern, wie Ernst & Young annimmt.
Doch die Sicherheitsvorkehrungen von Firmenseite bei der Nutzung von Handy, PDA oder Notebook sind stark verbesserungswürdig, wie die Umfrageergebnisse zeigen. Weniger als die Hälfte der Befragten weist ihre Mitarbeiter auf Sicherheitsrisiken bei der Nutzung mobiler Geräte hin. Noch schlechter sieht es mit entsprechenden Schulungen aus, in denen Mitarbeiter lernen, auf Sicherheitsvorfälle zu reagieren.
Auch bei anderen Technologien, wie beispielsweise Internettelefonie, Open Source oder Server-Virutalisierung sehen nur 20 Prozent Sicherheitsrisiken. Obwohl sich dieses Bewusstsein allmählich ändert, hat ein Viertel der Befragten keine Pläne, um in den kommenden zwölf Monaten die IT-Sicherheitsstandards in diesem Bereich zu verbessern.
Risiko durch Dritte bleibt
Auch Outsourcing bleibt nach wie vor eine Bedrohung für die IT-Sicherheit, wie die Umfrageergebnisse zeigen. Nur ein Fünftel ging überhaupt auf das Thema Lieferanten-Risiko-Management ein. Darunter versteht Ernst & Young einen kontinuierlichen Prozess zur Einschätzung und Einschränkung von Risiken, die alle Vorgänge in Zusammenhang mit Produkten und Dienstleistung von dritter Seite betreffen. Ein Drittel gab an, es gebe lediglich informelle Kanäle zur Bewältigung von Sicherheitsvorfällen.
"Organisationen dürfen nicht länger glauben, es reiche aus, nur auf ihre eigenen Informationssicherheitsthemen und –bedrohungen Rücksicht zu nehmen", sagte Edwin Bennett, als Global Director bei Ernst & Young für Technologie- und Sicherheitsrisikodienste zuständig:
"Da die Welt immer kleiner wird und mehr und mehr Informationen zwischen Unternehmen fließt, müssen alle Organisationen die Sicherheit ihres Geschäftspartners, Outsourcing-Vereinbarungen, Lieferanten und Kunden einbeziehen. Sonst kann der Wert, der durch diese Vereinbarungen geschaffen wird, auf Grund von angenommenen oder wirklichen Sicherheits-, Datenschutz- oder Identitätsverstößen rasch sinken oder ganz zunichte gemacht werden. Organisationen sollten auch erwägen, ihr Engagement für gute Informationssicherheit durch die Anwendung von anerkannten Normen oder durch Zertifizierung zu zeigen".
Organisationsanpassung und Umsetzung
So weit, IT-Sicherheit als integralen Bestandteil seiner Geschäftspolitik zu sehen und entsprechend zu investieren, will kaum ein Unternehmen gehen. Die Einhaltung von Compliance-Vorschriften sähen Firmen mehr als eine Notwendigkeit denn als eine Chance, strategische Informationssicherheit zu etablieren, sagte Bennett dazu.
Das drückt sich auch in den Maßnahmen aus, die Firmen in Sachen IT-Sicherheit ergreifen wollen. 56 Prozent der Befragten haben beispielsweise Sicherheitsfunktionen in ihren Anwendungs-Entwicklungsprozessen verankert. 46 Prozent setzen auf Verkäufer-Risiko-Management, 48 Prozent auf Training und Schulung.
Für strategische IT-Sicherheit geben Firmen zudem nur 17 Prozent ihres IT-Budgets aus, für Routinearbeiten dagegen 41 Prozent.
Für den Global Information Security Survey befragte Ernst & Young 1.300 weltweit tätige Unternehmen, Regierungsbehörden und gemeinnützige Agenturen in 55 Ländern.