Unternehmen, die sich einer Digitalen Transformation stellen, stehen vor organisatorischen, prozessualen, kulturellen und technologischen Herausforderungen. Die Komplexität wird größer – damit steigen die Anforderungen an den Chief Information Security Officer (CISO) sowie an Information Security und Risk Management massiv.
58 Prozent der IT-Entscheider und 45 Prozent der von Lünendonk befragten Business-Entscheider halten die Themen für maximal unternehmenskritisch. Das zeigt die aktuelle Lünendonk-Trendstudie 2016 „Digitale Bedrohungsszenarien im Fokus von Business und IT“, die in fachlicher Zusammenarbeit mit Hewlett Packard Enterprise, KPMG, NTT Security, Open Systems und Unisys durchgeführt wurde.
Der CISO braucht starkes Mandat der Geschäftsführung
Von den mehr als 250 befragten Unternehmen des gehobenen Mittelstands und großen Unternehmen haben bisher 43 Prozent einen CISO im Unternehmen etabliert. Bei diesen Unternehmen berichtet der CISO in 69 Prozent der Fälle an den CIO. In 30 Prozent der Fälle berichtet der CISO an den Vorstand oder die Geschäftsführung. „Die hohe organisatorische Abhängigkeit vom CISO gegenüber dem CIO sollte jedoch kritisch betrachtet werden, da auf diese Weise leicht Interessenskonflikte entstehen können“, so Hartmut Lüerßen, Partner bei Lünendonk. Denn eine organisatorische Unabhängigkeit des CISOs sei auf diese Weise nicht gegeben. Das Konfliktpotenzial bestehe in der resultierenden Selbstprüfung der IT-Organisation. Angesichts der Tatsache, dass sich die CIOs und IT-Abteilungen sinnvollerweise immer stärker an den Business-Anforderungen ausrichten, nehme der Druck auf die Umsetzungsgeschwindigkeit zu.
In diesem Zusammenhang seien eine effektive Qualitätssicherung sowie eine unabhängige Information Security-Organisation umso wichtiger. Denn gerade an diesen Stellen entstehen in der Praxis bei hohem Zeitdruck Fehler und Nachlässigkeiten. Daher werde diese Trennung sowohl in der Methodik nach IT-Grundschutz gefordert als auch regulatorisch bei den Mindestanforderungen an das Risikomanagement (MaRisk) durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Nachfrage bei Managed Security Services nimmt zu
Externe Security-Services gehören heute zum festen Bestandteil der IT-Security-Strategie. Und die Unternehmen planen laut der Analyse, die externen Security-Services weiter auszubauen. Managed Services werden heute bereits von 27 Prozent der befragten Unternehmen genutzt. Dazu gehören Themen wie Managed Firewalls, Managed VPN oder auch Angebote für ein Managed Security Operation Center (Managed SOC) mit dem Betrieb von Lösungen für Sicherheitsinformations- und Eventmanagement (SIEM).
Diese umfangreichen Managed SOC Services werden insbesondere von international aufgestellten großen Unternehmen in Anspruch genommen, um relevante Ereignisse oder Bedrohungen weltweit beobachten und schnell reagieren zu können. Von den Unternehmen mit mehr als 10 Milliarden Euro Umsatz nutzen bereits 38 Prozent Managed-Security-Services.
Was in den Planungen der Unternehmen aus der Marktperspektive betrachtet etwas unterrepräsentiert erscheine, seien strategische Themen wie „Security-Strategieberatung“. Hier sind es lediglich 33 Prozent der Unternehmen, die die Zusammenarbeit ausbauen wollen. Dabei gehören die offenen Herausforderungen „Zusammenarbeit mit den Fachbereichen bei der Informationsanalyse und Risikobewertung“, „Verknüpfung der Business-Perspektive mit den technischen Security-Lösungen“ sowie der „frühzeitigen Berücksichtigung von IT-Security in den Projekten“ genau in das Beratungsfeld der Security-Strategieberatung. Und externe Impulse könnten für ein Verändern der internen Vorgehensweise sehr wertvoll sein.
Chancen zur Veränderung ergreifen
Die Mehrheit der Unternehmen will laut der Untersuchung die Chancen der digitalen Transformation ergreifen. Dabei denken sie in erster Linie an die geschäftliche Perspektive. Die Chancen im Blick experimentieren die Verantwortlichen mit neuen Geschäftsmodellen, veränderten Wertschöpfungsketten und digitalen Geschäftsprozessen. „Diese positive Stimmung für Veränderungen, zusammen mit dem gestiegenen Wissen um die steigenden Cyber-Bedrohungen, bieten den CISOs und CIOs eine vielleicht einmalige Chance, um die Business-Perspektive mit dem technischen Security Management zu verknüpfen. Die Zeit ist reif für Veränderungen – auch beim strategischen und operativen Umgang mit IT Security und Risk Management“, so das Fazit.
Video-Interviews mit Security-Experten zu Best Practices
Welche Bedeutung hat ein starkes Mandat der Geschäftsführung für den CISO? Wie schaffen es Unternehmen, dass die Business-Verantwortlichen und die IT-Verantwortlichen gemeinsame Security-Ziele definieren, aus denen die IT-Security-Strategie abgeleitet werden kann? Welche Rolle spielt Segmentierung, um das Schadenspotenzial im Ernstfall einzudämmen? Zu diesen und weiteren Themen nehmen Experten der Studienpartner in kompakten Video-Interviews Stellung.