Es sind beunruhigende Zahlen, die Piwinger vorlegt: „79 Prozent der Unternehmen haben nach eigenen Angaben keine klaren Vorstellungen zu Effizienz im Informationssicherheitsmanagement – und die restlichen 21 Prozent haben meist auch kein klares Konzept.“ Unternehmen, denen ihre Daten wichtig sind, sollten dies dringend ändern!
Enge Verzahnung zwischen CISO und Vorstand
Aufbauend auf einem klaren Verständnis, welche Kundendaten für das Unternehmen wirklich von Relevanz sind und wie diese adäquat geschützt werden können, ließen sich Transparenz und Effizienz im Sicherheitsmanagement zum Beispiel durch Shared-Service-Center erhöhen. Ihre Leistungen würden bei Inanspruchnahme den Fachbereichen in Rechnung gestellt. Die Mehrheit der Unternehmen zählt heute noch die Kosten für Informationssicherheit zu den Overhead-, Gemein- oder auch indirekten Kosten (zum Beispiel Kosten der Geschäftsleitung, für Werbung, Verwaltung et cetera) und erschwert damit Kostentransparenz und Kostenbewusstsein.
Organisationen, bei denen der Chief Information Security Officer direkt an den Vorstand berichtet, sind tendenziell erfolgreicher beim Management der Informationssicherheit.
Klare Priorisierung, statt »nice to have«
Ebenso erweisen sich Bottom-up-Budgetierung und eine klarer Priorisierung der Maßnahmen als wirksame Ansatzpunkte: „Die weit verbreitete Faustregel, dass die Kosten für Informationssicherheit fünf Prozent des gesamten IT-Budgets ausmachen, ist eine denkbar schlechte Orientierung für Unternehmen, die nach Effizienz ihrer Informationssicherheit streben“, sagt Piwinger: „Unternehmen müssen unterscheiden zwischen Maßnahmen, die sie zwingend brauchen und solchen die nur »nice to have« sind. Darauf aufbauend können sie ihre Ressourcen vor allem dort einsetzen, wo sie am meisten nutzen.“
Stress- und Penetrationstests erlauben es, Schwachstellen schnell zu entdecken und gezielt anzugehen. Netflix zum Beispiel, ein „hochwertiges Angriffsziel“, führt wöchentlich über Tausend Tests durch, um Lücken zu schließen. Weniger verwundbare Unternehmen könnten mit weniger auskommen.
Informationssicherheit: Zusammen, statt jeder für sich
Unternehmensübergreifende Zusammenarbeit ist ein weiterer Schritt, die Effizienz des Sicherheitsmanagements zu verbessern. Besonders Industrie-Peers und Unternehmen gleicher Größe sollten sich beim Thema Informationssicherheit nicht als Konkurrenten verstehen, sondern wechselseitig voneinander profitieren.
Und schließlich könnten auch Automatisierungsprozesse, die zum Beispiel auf künstliche Intelligenz und Verhaltensanalysen zurückgreifen, helfen, die Ressourcen zu schonen und die Wirksamkeit zu erhöhen. Wenn es dann noch gelingt, die Mitarbeiter einzubinden, ist man einen großen Schritt weiter.
„Industrie 4.0., das Internet der Dinge und ähnliche Entwicklungen machen die Unternehmen zu attraktiven Angriffszielen. Cyberattacken werden häufiger und heftiger: Unternehmen müssen lernen, Informationssicherheit höchst effizient zu managen. Die neue EU-Datenschutzverordnung übt einen heilsamen Druck auf die Unternehmen aus, dem kann sich niemand mehr entziehen“, so Piwinger.
—
* Weitere Informationen zur Studie finden am Thema Interessierte unter folgendem Kurzlink: bit.ly/1IbldQU
—
Über A.T. Kearney:
A.T. Kearney zählt zu den weltweit führenden Unternehmensberatungen für das Top-Management und berät sowohl global tätige Konzerne als auch führende mittelständische Unternehmen und öffentliche Institutionen. Weiterführende Informationen zum Unternehmen und seinen Dienstleistungen finden am Thema Interessierte im Internet unter www.atkearney.de.
—
Mit Text- und Informationsmaterial von presseportal.de
