Suchen

IT-Sicherheit in der Unternehmensführung 12 Tipps fürs Security- und Risiko-Management

| Redakteur: Stephan Augsten

Aufsichtsräte und Führungskräfte nehmen das Risiko-Management durchaus ernst. Doch vor allem hinsichtlich der Bewertung der IT-Sicherheitsrisiken besteht noch Nachholbedarf. Diesen Schluss zieht RSA aus dem Report „Governance of Enterprise Security“.

Beim Risiko-Management verliert manch eine Führungskraft den Überblick.
Beim Risiko-Management verliert manch eine Führungskraft den Überblick.

Im Auftrag von RSA hat das Carnegie Mellon CyLab untersucht, wie asiatische, europäische und nordamerikanische Unternehmen beim IT-Risiko-Management aufgestellt sind. So haben 96 Prozent der betrachteten Firmen weltweit ein Auditing-Komitee gebildet, in über drei Viertel der Fälle findet sich zusätzlich ein Komitee für Fragen der Unternehmensführung (Governance), Compliance oder Geschäftsethik.

Ein spezielles Risiko- oder Sicherheitskomitee haben bislang nur 56 Prozent der Firmen ins Leben gerufen. Am besten schneiden in diesem Bereich die asiatischen Befragten ab: 95 Prozent von ihnen geben an, dass ihr Arbeitgeber ein entsprechendes Gremium einberuft, in drei Viertel der Fälle sogar unabhängig vom Auditing-Ausschuss.

Europäische Unternehmen gehen hinsichtlich IT-Sicherheit und Datenschutz zumindest noch konsequenter vor als Firmen in den Vereinigten Staaten: Während in Europa 59 Prozent der untersuchten Firmen einen eigenen Beirat für Risiko- und Sicherheitsfragen bilden, sind es in den USA gerade einmal 28 Prozent.

Im Branchenvergleich zeigt sich, dass der Finanzsektor bei Sicherheit und Governance am besten aufgestellt ist. Vorstände im Finanzsektor legen laut RSA eine hohe Priorität auf das Risiko-Management. Im Gegensatz dazu widmen sich Vorstände in Energie- und Industrieunternehmen zunächst weniger kritischen Themen wie dem Lieferanten-Management.

Schlüsselpositionen nicht besetzt

An Vollzeit-Personal für Daten- und IT-Sicherheit mangelt es im Übrigen weltweit. Weniger als zwei Drittel der befragten Organisationen besetzen Schlüsselpositionen wie Chief Information Security Officer (CISO), Chief Security Officer (CSO), Chief Privacy Officer (CPO) oder Chief Risk Officer (CRO). Obwohl Europa in Bezug auf Datenschutzbestimmungen führend ist, geben nur drei Prozent der Befragten an, dass ihr Unternehmen einen CPO hat.

Zur Verbesserung der Unternehmensführung in Bezug auf Datenschutz und Sicherheit gibt die RSA-Studie eine Reihe von Empfehlungen, die wir auf der folgenden Seite vorstellen. Den vollständigen Governance of Enterprise Security: CyLab 2012 Report (PDF, 13,4 MB) hat RSA als Download bereitgestellt.

(ID:34045890)