Hintergrund ist das wachsende Bewusstsein in allen Fragen rund um die Sicherheit. Für Aberdeen beinhaltet das Etablieren einer Security-Strategie folgende Fragen:
-
Welche Risiken drohen dem Unternehmen?
-
Wer ist verantwortlich für den Umgang damit?
-
Welche Lösungen sollen benutzt werden?
-
Wie werden die Ergebnisse des Risiko-Managements gemessen?
-
Welche Compliance-Vorgaben sind zu erfüllen?
Dass ein Risiko-Management heute nicht mehr ohne technologisches Equipment zu bewältigen ist, liegt auf der Hand. Dennoch weisen die Analysten darauf hin, dass es nicht damit getan ist, in IT-Tools zu investieren. Vor dem Geldausgeben steht die Notwendigkeit, ein cross-funktionales Team aus IT-Spezialisten, Managern und Controllern zu bilden.
Finanz-Manager und CIOs sind sich nicht einig
Dabei besteht die Kunst eines Chief Risk Officers (CRO) darin, die unterschiedlichen Sichtweisen und Anforderungen unter einen Hut zu kriegen. Was nicht immer einfach sein dürfte: Finanz-Manager halten Offshoring, Outsourcing oder auch Joint Ventures für das höchste Sicherheits-Risiko, CIOs sehen es in externen Schadprogrammen, die die Sicherheitslücken des eigenen Systems ausnutzen.
Aufgabe des Teams rund um den CRO ist es zunächst einmal, die bestehende Sicherheits-Strategie - beziehungsweise das, was davon da ist - auf Herz und Lunge zu prüfen. Implementierte Software muss regelmäßig auf den neuesten Stand gebracht werden. Außerdem müssen die Unternehmensbereiche priorisiert werden, die als Erstes zu schützen sind. Und: Jede neue Compliance-Regelung muss berücksichtigt werden.
Ein Blick auf die Zahlen, die Aberdeen erhoben hat, lassen diese Vorstellung von einem Muster-Unternehmen allerdings mehr als Vision denn als Realität erscheinen: Siebzig Prozent der Befragten sind technisch offenbar nicht gerüstet, denn sie wollen erst einmal Lösungen für ein automatisiertes Risiko-Management kaufen.
Erst ein Viertel der Unternehmen hat einen CRO eingesetzt
Cross-funktionale Teams zur Wahrung der Unternehmenssicherheit bestehen in 38 Prozent der befragten Firmen. Ein dezidierter CRO ist erst in rund einem Viertel der Unternehmen im Einsatz.
Dass dessen Rolle noch nicht eindeutig definiert ist, zeigen die unterschiedlichen Etiketten, die dem Kürzel CRO aufgeklebt werden. So gilt der CRO in 90 Prozent der großen Konzerne (ab einem Jahresumsatz von einer Milliarde US-Dollar) als Leader, in den mittleren Unternehmen (50 Millionen bis zu einer Milliarde US-Dollar Jahresumsatz) schreiben ihm nur 57 Prozent diese Rolle zu. Häufig wird von ihm erwartet, als Unterstützer und Integrator zu fungieren. Eher selten wird er als Taktiker oder Technik-Master betrachtet.
43 Prozent aller Befragten halten es für richtig, dass der Chief Risk Officer an den CEO berichtet, 23 Prozent denken, er soll an den CFO berichten.
Die Firmen, die ein cross-funktionales Team etabliert haben, wollen damit in erster Linie eine Abstimmung und Standardisierung unternehmensweiter Strategien und Systeme erreichen. Dieser Punkt wurde von 61 Prozent der Befragten als wesentliche Herausforderung genannt. Um künftige Risiken vorhersehen und abschätzen zu können, wollen 56 Prozent der Befragten zunächst einmal die Lücke zwischen Ist und Soll feststellen.
Ebenfalls 56 Prozent der Befragten begegnen Compliance-Anforderungen mit dem Implementieren von Frameworks wie Cobit, ITIL oder dem Capability Maturity Model (CMM).
Die Kontrolle über den Netzwerkzugang ist am Wichtigsten
Die Analysten haben erfragt, in welche IT-Lösungen derzeit investiert wird. Ganz oben stehen mit 86 Prozent der Nennungen Lösungen für die Netzwerkzugangs-Kontrolle vor den Punkten Datenverlust-Prävention (69 Prozent) und Verschlüsselung (61 Prozent).
Aberdeen hat für den "Compliance Gap Benchmark Report" die Strategien von 140 Unternehmen verschiedenster Branchen analysiert.