IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Die Mehrheit der IT-Security-Verantwortlichen hält Kennzahlen zur Bedrohungserkennung für den idealen Weg, um dem Management die Effektivität von Sicherheitsprogrammen zu demonstrieren. Dennoch nutzt ein Großteil von ihnen dazu nur allgemeine Compliance-Reports. Die geschäftskritische Bedeutung von Cyber-Security können sie so nicht ausreichend vermitteln. Zu diesem Ergebnis kommt eine aktuelle Studie von CyberArk.
Quelle: Dimensional Research
Für die Studie „The Gap Between Executive Awareness and Enterprise Security“ befragte das Marktforschungsinstitut Dimensional Research im Auftrag des IT-Sicherheitsanbieters CyberArk weltweit 304 IT-Security-Verantwortliche zur Effektivität von Sicherheitsprogrammen, ihren Berichtsfrequenzen und weiteren Security-relevanten Aspekten wie Budgets und Know-how.
Die zentralen Ergebnisse: 60 Prozent der Befragten glauben, dass Cyber-Kriminelle in ihr Unternehmen eindringen könnten. Als Haupthindernis für eine damit einhergehende notwendige Erhöhung der IT-Sicherheit sehen 75 Prozent mangelnde Budgets. Befragt, welche Themen für sie im nächsten Jahr höchste Priorität haben, nannten die Studienteilnehmer den Schutz von Endgeräten und von privilegierten Benutzerkonten.
Angesichts der ständig steigenden Bedrohung durch die fortschreitende Professionalisierung von Cyber-Angriffen, die das gesamte Unternehmen gefährden können, fällt das Thema IT-Sicherheit zunehmend in den Verantwortungsbereich von CEOs und Vorständen. Nach der Wahrnehmung der befragten IT-Security-Experten gibt es dabei aber noch einige Defizite:
• 61 Prozent von ihnen glauben, dass die CEOs nicht genügend über Cyber-Security wissen;
• 69 Prozent sagen, dass das Thema Cyber-Sicherheit für ihren CEO zu technisch ist;
• 53 Prozent sind der Meinung, dass ihre CEOs bei Geschäftsentscheidungen die IT-Sicherheit nicht berücksichtigen.
Die Studie zeigt aber auch, dass die Sicherheitsteams ihre CEOs nicht gründlich genug über die geschäftskritischen Aspekte der Cyber-Sicherheit unterrichten:
• ein Drittel der CEOs wird nicht regelmäßig über Fragen der IT-Security und die damit zusammenhängenden Geschäftsrisiken informiert;
• 43 Prozent der Management-Teams erhalten keine regelmäßigen Berichte zum Sicherheitsstatus des Unternehmens;
• 59 Prozent der Befragten sehen in Kennzahlen zur Bedrohungserkennung den besten Weg, um dem Management die Wirksamkeit eines Sicherheitsprogramms zu verdeutlichen; dennoch nutzen 79 Prozent der Befragten dazu nur allgemeine Compliance-Reports und Audit-Ergebnisse.
Quelle: Dimensional Research
„IT-Sicherheitsverantwortliche informieren ihr Management oft nicht sehr zielgerichtet. Compliance bedeutet nicht automatisch IT-Sicherheit“, sagt Michael Kleist, Regional Director DACH bei CyberArk. „Um dem Management die geschäftskritische Bedeutung von Cyber-Sicherheit zu vermitteln, müssen sie ihm Kennzahlen zu Risiken und Bedrohungen zur Verfügung stellen. So können sie im Vorstand das Bewusstsein für Cyber-Security steigern und in der Folge auch mit Budgets für wichtige Projekte etwa zum Schutz von Endgeräten oder privilegierten Benutzerkonten rechnen.“
