Bei der Erstellung von Sicherheitskonzepten, dem Entwerfen und Implementieren von Prozessen, ICT-Architekturen und Maßnahmenkatalogen halten sich externe und interne Security-Spezialisten nach den Vorstellungen der Befragten die Waage. Fast 80 Prozent und damit die Mehrheit der Unternehmen würden die Auswahl und Implementierung konkreter Sicherheitslösungen einschließlich der dazu notwendigen Prozesse dem Dienstleister übertragen, der auch die Beratung erbracht hat.

Für die Konzeption und Integration von Netzwerk- und Server-basierten IT-Sicherheitslösungen favorisieren 73 Prozent der befragten Firmen eine Realisierung durch die eigene IT-Abteilung gemeinsam mit einem externen Dienstleister. Für 23 Prozent kommt dagegen eine rein interne Abwicklung in Frage.

Beim Schutz von Arbeitsplatzrechnern und mobilen Endgeräten liegt dieser Wert nur bei 53 Prozent. Dementsprechend ist auch der Anteil der Firmen, die eine interne Realisierung bevorzugen, mit 43 Prozent höher. Bei beiden Themen lagern nur drei Prozent diese Leistungen komplett aus. Auch hier zeigt sich, dass große Mittelständler eher zum OutsourcingOutsourcing von Netzwerk- und Desktop-bezogenen Themen bereit sind als Großunternehmen. Alles zu Outsourcing auf CIO.de

Ruhig auch auf Externe setzen

Anwenderunternehmen sollten die übergeordnete Verantwortung für IT-Sicherheit immer im eigenen Haus halten, gleichzeitig aber externe Dienstleister auch im Bereich Security stärker heranziehen, empfiehlt Experton Group. Das bedeutet: Strategische Themen wie Architektur, Policy- und Risiko-Management müssen als interne Funktionen vorhanden und ausgeführt werden. Dabei macht es durchaus Sinn, externe Unterstützung in Form von Schulung ergänzend in Anspruch zu nehmen.

Technologische Spezialthemen, für die das Unternehmen keine eigenen Ressourcen aufbauen möchte, können hingegen in der Regel im Rahmen einzelner Vorhaben weitestgehend von externen Beratern und Entwicklern abgedeckt werden. Für Managed Security Services, also Betriebsdienstleistungen im Sicherheitsumfeld, müssen Funktionen und Kompetenzen im Unternehmen aufrechterhalten werden.