Firmen setzen auf Routine statt auf Strategie
Compliance ist das wichtigste IT-Sicherheitsthema
Doch die Sicherheitsvorkehrungen von Firmenseite bei der Nutzung von Handy, PDA oder Notebook sind stark verbesserungswürdig, wie die Umfrageergebnisse zeigen. Weniger als die Hälfte der Befragten weist ihre Mitarbeiter auf Sicherheitsrisiken bei der Nutzung mobiler Geräte hin. Noch schlechter sieht es mit entsprechenden Schulungen aus, in denen Mitarbeiter lernen, auf Sicherheitsvorfälle zu reagieren.
Auch bei anderen Technologien, wie beispielsweise Internettelefonie, Open SourceOpen Source oder Server-Virutalisierung sehen nur 20 Prozent Sicherheitsrisiken. Obwohl sich dieses Bewusstsein allmählich ändert, hat ein Viertel der Befragten keine Pläne, um in den kommenden zwölf Monaten die IT-Sicherheitsstandards in diesem Bereich zu verbessern. Alles zu Open Source auf CIO.de
Risiko durch Dritte bleibt
Auch OutsourcingOutsourcing bleibt nach wie vor eine Bedrohung für die IT-Sicherheit, wie die Umfrageergebnisse zeigen. Nur ein Fünftel ging überhaupt auf das Thema Lieferanten-Risiko-Management ein. Darunter versteht Ernst & Young einen kontinuierlichen Prozess zur Einschätzung und Einschränkung von Risiken, die alle Vorgänge in Zusammenhang mit Produkten und Dienstleistung von dritter Seite betreffen. Ein Drittel gab an, es gebe lediglich informelle Kanäle zur Bewältigung von Sicherheitsvorfällen. Alles zu Outsourcing auf CIO.de
"Organisationen dürfen nicht länger glauben, es reiche aus, nur auf ihre eigenen Informationssicherheitsthemen und –bedrohungen Rücksicht zu nehmen", sagte Edwin Bennett, als Global Director bei Ernst & Young für Technologie- und Sicherheitsrisikodienste zuständig:
"Da die Welt immer kleiner wird und mehr und mehr Informationen zwischen Unternehmen fließt, müssen alle Organisationen die Sicherheit ihres Geschäftspartners, Outsourcing-Vereinbarungen, Lieferanten und Kunden einbeziehen. Sonst kann der Wert, der durch diese Vereinbarungen geschaffen wird, auf Grund von angenommenen oder wirklichen Sicherheits-, Datenschutz- oder Identitätsverstößen rasch sinken oder ganz zunichte gemacht werden. Organisationen sollten auch erwägen, ihr Engagement für gute Informationssicherheit durch die Anwendung von anerkannten Normen oder durch Zertifizierung zu zeigen".