43 Prozent der Befragten sind der Meinung, dass die IT-Administratoren für die Sicherheit verantwortlich sind und weniger die Geschäftsleitung (20 Prozent). Einig sind sich die Verantwortlichen dagegen nicht bei der Frage, wer für die Festlegung der Sicherheitsrichtlinien verantwortlich ist. Etwa ein Viertel sagt, dass der Chef der IT-Abteilung zuständig ist. Dagegen sehen 22 Prozent die Verantwortung bei den IT-Administratoren und 18 Prozent bei der Geschäftsleitung.
Laut der Untersuchung hat die Hälfte der Befragten die Sicherheits-Policies nicht schriftlich dokumentiert. Das sei auch der Grund dafür, dass sich die Unternehmen über die Verantwortungszuweisung unklar sind. Neun Prozent der Unternehmen hätten keine Sicherheitsrichtlinien und auch noch nie davon gehört.
"Die meisten Unternehmen haben den Stellenwert von IT-Security erkannt, aber die Verantwortung trägt fälschlicherweise immer noch alleine der IT-Administrator. Das heißt, IT-Sicherheit ist immer noch keine Chef-Sache, obwohl es um sehr viel Geld geht, wenn Daten nicht richtig geschützt werden", sagt Anna Focks, Senior Director EMEA Sales bei Watchguard. IT-Policies sollten die Mitarbeiter verständlich über Dos and Don’ts aufklären, damit Firmen gleichermaßen von außen wie von innen geschützt sind.
Dagegen hat mehr als die Hälfte aller Unternehmen entsprechende Richtlinien für die Internet-Nutzung und den Umgang mit E-Mails ausformuliert. Allgemeine Policies, wie beispielsweise zum Verhalten im Notfall oder zur Datenvernichtung, sind kaum schriftlich fixiert. 28 prozent geben an, dass sie gar keine detaillierten beziehungsweise themenspezifischen Direktiven vorliegen haben.
Für die Studie "Producing your Network Security Policy" wurden 296 Geschäftsführer, Abteilungsleiter, Projekt- und IT-Manager in Deutschland und Großbritannien befragt.