Foto: IBM
Die Schlagzeilen haben Wirkung hinterlassen. Nach einigen aufsehenerregenden Hacks und wöchentlichen Meldungen über neue Einfallstorehaben viele Führungskräfte begriffen, welche Rolle die Datensicherheit in ihrem Unternehmen spielt.
Das bestätigen nahezu zwei Drittel der Chief Information Security Officers (CISOs), die IBM im Rahmen einer Umfrage interviewt hat. Die Sicherheitsbeauftragten gaben an, Führungskräfte würden heute der Sicherheit deutlich mehr Aufmerksamkeit schenken als noch vor zwei Jahren.
Mehr Budget für IT-Sicherheit erwartet
Diese Einstellung wird sich auch aufs Budget niederschlagen: Fast zwei Drittel der Befragten erwarten, dass Unternehmen in den kommenden zwei Jahren mehr für IT-Sicherheit ausgeben werden, und 87 Prozent von Ihnen rechnen sogar mit einer Zunahme im zweistelligen Bereich.
Was wiederum bedeutet: Die Verantwortung für den CISO und der Druck sind stark gestiegen. Das spiegelt sich in den Zahlen wider, denn drei Viertel der befragten Sicherheitsverantwortlichen sind nicht vollständig zufrieden mit den Sicherheitsvorkehrungen in ihrem Unternehmen.
Mehr Selbstvertrauen haben etwa ein Viertel unter den Senior Security-Managern. Diese Gruppe bezeichnet IBM als "Influencer", denn sie beeinflussen die Geschäftsstrategien ihrer Firmen und sind in vielen Feldern besser vorbereitet als ihre Fachkollegen - die "Protectors" und "Responders". Während die beiden letzteren in einem Krisenmodus verharren, prüfen die "Influencer" vorausschauend vielerlei Optionen und fahren einen strategischen Ansatz.
Sicherheit auf Vorstandsebene diskutieren
Der "Influencer" sorgt beispielsweise dafür, dass das Management die IT-Sicherheit als Geschäftsnotwendigkeit ansieht. In 60 Prozent der Unternehmen, die IBM als in der Sicherheit führend eingestuft hat, werden regelmäßig Sicherheitsaspekte auf Vorstandsebene diskutiert - und nicht erst bei einem Vorfall. In weniger vorausschauenden Unternehmen wird IT-Sicherheit nur in 22 Prozent der Führungsgremien regelmäßig behandelt.
Foto: IBM
Das liegt laut IBM vielleicht daran, dass nur ein Viertel dieser Unternehmen einen Lenkungsausschuss installiert haben. In 68 Prozent der Spitzenunternehmen hingegen kommt ein solches Steuerungsgremium zu Einsatz, das systematische Ansätze entwickelt und dabei gesetzliche und finanzielle Aspekte sowie die Geschäftsprozesse und Personalentwicklung einbezieht.
Diese Vordenker verstehen auch leichter die Notwendigkeit, das Risikobewusstsein unternehmensweit zu verankern. Daher konzentrieren sie sich auf unternehmensweite Sensibilisierung, Ausbildung sowie Zusammenarbeit und Kommunikation - ein effektiver Ansatz, um eine Sicherheitskultur zu schaffen.
Dabei verlassen sich "Influencer" nicht auf ihr Bauchgefühl, sondern ziehen Daten als Grundlage für Entscheidungen heran. Führende Organisationen verwenden mit doppelt so hoher Wahrscheinlichkeit Metriken: 59 Prozent der Top-Unternehmen erfassen, wie es um die Sensibilisierung der Nutzer, das Wissen der Angestellten und ihre Fähigkeit steht, künftige Bedrohungen zu erkennen. Unter den sicherheitstechnisch weniger entwickelten Organisationen sammeln nur 26 Prozent der solche Daten.
Die neue strategische Stimme des CIO
Diese Bereiche zeichnen laut IBM ein Profil einer neuen Klasse von CISO-Führungskräften, die eine strategische Stimme entwickeln und den Weg zu einer aktiveren Haltung zur Informationssicherheit ebnen. Die Entwicklung ähnelt der der CFOs: Wie der IT-Sicherheitschef von der technischen kommen sie von der finanzkundigen Seite und gelangen zur strategischen Geschäftsunterstützung.
Foto: IBM
Um sich leistungsfähig zu organisieren, empfiehlt IBM daher allen CIOs, ihren taktischen Fokus zu stärken. Dazu können sie beispielsweise gezielt dieRolle als CISO etablieren, einen Risikoausschuss einführen und beginnen, den Sicherheitsstatus zu messen.
Für die Untersuchung hat IBM rund 140 IT-Sicherheitsverantwortliche befragt. 55 Prozent davon kommen aus Unternehmen mit 1000 bis 10.000 Mitarbeitern, 20 Prozent aus Unternehmen mit mehr als 10.000 Mitarbeitern.