IBM Security-Studie: Best-Practices von Sicherheitsverantwortlichen

IBM hat Ergebnisse aus dem 2013 IBM Chief Information Security Officer (CISO) Assessment veröffentlicht, der im Detail drei Bereiche untersucht, die Sicherheitsverantwortliche betreffen: Geschäftspraktiken, Reife eingesetzter Technologie und Möglichkeiten zur Messung und Kontrolle. Die Studie baut auf dem Know-how erfahrener Sicherheitsverantwortlicher auf und beschreibt eine Reihe innovativer Praktiken, die die Rolle des Sicherheitsbeauftragten im Unternehmen umreißen. 

Im gleichen Maß, wie Cloud- und Mobile-Technologien neue Möglichkeiten für Unternehmen schaffen, wächst auch die Gefahr für Unternehmensdaten. Vor dem Hintergrund raffinierter und fortschreitender Bedrohungen durch Angreifer wird die Rolle eines CISOs zunehmend strategisch in vielen Organisationen. Ein erfahrener CISO ist heute sowohl technologisch bewandert als auch unternehmerisch denkend. Er ist ausgestattet mit der Fähigkeit, Themen auf Geschäftsführungsebene zu vertreten, aber auch in der Lage, komplexe Technologien zu handhaben. Um CISOs dabei zu unterstützen, einen besseren Schutz für ihre Organisation aufzubauen und zu verstehen, wie ihre Rollen sich mit denen anderer Sicherheitsbeauftragter vergleichen lassen, hat das  IBM 2013 CISO Assessment Praktiken und Verhaltensweisen identifiziert und beschrieben, die die Rolle der Informationssicherheitsverantwortlichen stärken können. 

Die diesjährige Studie enthält wichtige Erkenntnisse und Best Practices sowie Hinweise auf Risiken, mit denen auch erfahrene Sicherheitsverantwortliche zu kämpfen haben. Mit dem vertiefenden Blick auf die drei Bereiche Business Practices, Technology Maturity und Measurement Capabilities kristallisiert sich ein Weg heraus, an dem sich erfahrene wie auch noch neue Sicherheitsverantwortliche orientieren können.

· Geschäftspraktiken/Business Practices: Die befragten Sicherheitsverantwortlichen betonen die Notwendigkeit klarer Strategien und Policies, umfassenden Risikomanagements und sehr guter Vernetzung im Unternehmen, um in ihrer Rolle effektiv zu sein. Ein Verständnis der Anliegen der Geschäftsführungsebene ist ebenfalls entscheidend. Erfahrene Sicherheitsverantwortliche treffen sich regelmäßig mit ihrer Geschäftsführung und intensivieren die Beziehung. In diesen Gesprächen sind die Identifizierung und Bewertung der Risiken (59 Prozent), die Lösung von Budgetthemen (49 Prozent) und die Implementierung neuer Technologien (44 Prozent) die Top-Themen. Die Herausforderung für die Sicherheitsverantwortlichen ist dabei, die vielfältigen Sicherheitsthemen und -aufgaben im Unternehmen erfolgreich zu bewältigen.

· Reife von Technologien/Technology Maturity: Mobile Security ist an vorderster Stelle der neu eingeführten Sicherheits-Technologien, von einem Viertel der Sicherheitsverantwortlichen in den letzten 12 Monaten eingeführt. Und obwohl Datenschutz und -sicherheit in einer Cloud-Umgebung immer noch Bedenken darstellen, haben drei Viertel (76 Prozent) irgendeine Art von Cloud-Security-Services im Einsatz – die derzeit gefragtesten Dienste sind dabei Data Monitoring und Audit zusammen mit integriertem Identity und Access Management (beide bei 39 Prozent). 

Während Cloud- und Mobile Computing eine hohe Aufmerksamkeit in vielen Organisationen erhalten, sind die Basistechnologien, auf die CISOs sich konzentrieren,  weiterhin Identity und Access Management (51%), Network Intrusion Prevention und Schwachstellen-Scanning (39%) sowie Datenbank-Sicherheit (32%). Die primäre Herausforderung für Mobile Sicherheit  ist, über die ersten Schritte hinaus zu gehen und weniger über die Technik, sondern mehr über Regeln, Praktiken und die Mobile-Strategie nachzudenken. Weniger als 40% der Organisationen haben bisher spezifische Regeln und Richtlinien für private Geräte oder eine Unternehmensstrategie für Bring your own Device (BYOD). im Einsatz.  Allerdings ist diese Lücke erkannt, die Einrichtung einer Unternehmensstrategie für BYOD (39%) und Regeln für private Geräte (27%) sind die beiden Top-Bereiche für die Entwicklung der IT-Sicherheit in den nächsten 12 Monaten.

· Messmöglichkeiten/Measurement Capabilities: Sicherheitsverantwortliche verwenden Metriken vor allem für die Budgetierung und für neue Investitionen in Technologie.  In einigen Fällen nutzen Verantwortliche auch Metriken für die Entwicklung strategischer Prioritäten der Sicherheitsorganisation. Im Allgemeinen sind jedoch technische und betriebswirtschaftliche Kennzahlen noch auf operative Themen ausgerichtet. Zum Beispiel verfolgen mehr als 90 Prozent der Befragten die Anzahl der Sicherheitsvorfälle, verlorene oder gestohlene Unterlagen, Daten oder Geräte, sowie den Audit-und Compliance-Status – dies sind grundlegende Dimensionen, die man bei allen Sicherheitsverantwortlichen erwarten würde. Weit weniger Befragte (12 Prozent) bringen Geschäfts- und Sicherheitsmaßnahmen in das Unternehmensrisiko-Prozessmanagement ein, obwohl Sicherheitsverantwortliche sagen, daß der Einfluß der IT-Sicherheit auf das allgemeine Unternehmensrisiko ihr wichtigste Erfolgsfaktor ist. "Die Studie zeigt deutlich, dass Sicherheitsverantwortliche sich auf das Gleichgewicht zwischen der Entwicklung einer starken, ganzheitliche Sicherheits- und Risikomanagement-Strategie und der Implementierung fortschrittlicher und strategischer Abwehrfähigkeiten konzentrieren müssen, wie im Thema Mobile und BYOD", sagt David Jarvis, Autor der Studie und Manager im IBM Center for Applied Insights. 

RSS Feed

Entdecken Sie die Printmagazine des WIN-Verlags