Führungskräfte in Unternehmen schenken der IT-Sicherheit und der Abwehr von Bedrohungen zu wenig Beachtung.
Der Abwehr von Cyber-Gefahren wird seitens der Führungsetagen noch immer zu wenig Aufmerksamkeit geschenkt. Zu diesem Schluss kommt das Carnegie Mellon CyLab nach einer von RSA gesponsorten Governance-Studie (PDF, 131 KB). Befragt wurden Top-Führungskräfte aus Unternehmen der „Forbes Global 2000“-Liste.
Grundsätzlich habe sich laut der Umfrage die Erfüllung üblicher Governance-Aufgaben verbessert. Trotzdem glaubt weniger als ein Drittel der Befragten, dass leitende Angestellte und Vorstände den grundlegenden Aufgaben der Cyber-Governance gewachsen sind.
Vor allem ihrer Kontroll- und Aufsichtspflicht kommen nur wenige Verantwortliche nach. So befasst sich nach Ansicht der Befragten nur ein knappes Viertel der Führungskräfte regelmäßig mit den Richtlinien, die Datenschutz und Risiko-Management stärken sollen. Weitere 28 Prozent werfen zumindest zwischenzeitlich ein Auge aufs Policy-Management, 42 Prozent hingegen selten bis nie.
Ein ähnliches Bild zeigt sich bei der Budgetplanung für Datenschutz und IT-Sicherheit: 28 Prozent der Befragten meinen, dass ihr Vorstand den finanziellen Rahmen für Sicherheitsausgaben regelmäßig prüft und nachbessert. Jeder zehnte Befragte geht von einer gelegentlichen Kontrolle aus. Über die Hälfte der Umfrage-Teilnehmer glauben, dass ihre Unternehmen nie oder nur ganz selten die Budgets kontrollieren.
Nichtsdestotrotz gebe es auch Verbesserungen, beispielsweise bei der Bildung von Risiko-Komitees auf Vorstandsebene und organisationsübergreifenden Teams. Allerdings gab fast die Hälfte aller Befragten an, dass sie keine Vollzeit-Positionen für Datenschutz und Sicherheit haben.
Doch gerade aus Sicht der Wettbewerbsfähigkeit sind Datenschutz und IT-Sicherheit unerlässlich, glaubt Jody Westby, CEO beim Carnegie Mellon CyLab: „Unternehmen, die die Rahmenbedingungen für ein vertrauenswürdiges Arbeitsumfeld schaffen, werden auch im Markt als verlässliches Unternehmen wahrgenommen.“
Tipps für besseres Security-Management
Zur Verbesserung der Corporate Governance in Bezug auf Datenschutz und Sicherheit empfehlen wir folgende Punkte zu beachten:
- Festlegung von Richtlinien für Datenschutz und Sicherheit auf Führungsebene
- Überprüfung von Rollen und Verantwortlichkeiten für Datenschutz und Sicherheit, Besetzung dieser Positionen mit qualifizierten leitenden Führungskräften in Vollzeit, Rechenschaftspflichten in der gesamten Organisation verankern
- Sicherstellen eines regelmäßigen Informationsfluss zum Datenschutz und zu Sicherheitsrisiken an die Geschäftsleitung und den Aufsichtsrat, dazu gehören insbesondere Berichte zu Cyber-Zwischenfällen und Rechtsverstößen
- Jährliche Überprüfung der IT-Budgets für Datenschutz und Sicherheit, unabhängig vom Budget des CIO
- Jährliche Überprüfung der Sicherheitsmaßnahmen im Unternehmen und der Wirksamkeit von Kontrollmechanismen, Überprüfung der Ergebnisse und der eingeleiteten Maßnahmen zur Beseitigung von Mängeln
- Regelmäßige Anpassung der Abdeckung des Cyber-Versicherungsschutzes an das Risikoprofil der Organisation