Die Mehrheit der befragten Firmen befürchtet, dass sich sicherheitsrelevante Ereignisse oder Verstöße gegen Compliance-Richtlinien massiv auf ihre Geschäftstätigkeiten auswirken werden. Zwei Drittel erwarten alle fünf Jahre mindestens einen großen Verstoß gegen Richtlinien. Das zeigt, dass das Thema IT-Risiko-Management in den Unternehmen häufig noch recht nachlässig behandelt wird.
Um das IT-Risiko für geschäftsrelevante Prozesse zu minimieren ist die Differenzierung in Prozess- und Technologiesteuerung zwingend notwendig. Das Ergebnis zeigt, dass die meisten Firmen ihre Stärke eher in der Technologie-Steuerung sehen, als in der Prozess-Steuerung. 68 Prozent der Befragten stufen Authentifizierungs-, Autorisierungs- und Zugangs-Management als die effizientesten Module der Prozess-Steuerung in ihrer Firma ein.
Gleichzeitig vernachlässigt die Mehrheit der Befragten die Identifizierung, Klassifizierung und Verwaltung innerhalb ihrer IT-Infrastruktur. Diese Differenzierung ist aber zwingend notwendig, um das IT-Risiko für geschäftsrelevante Prozesse zu minimieren. Lediglich etwas mehr als ein Drittel der Umfrageteilnehmer meint jedoch, dass sie in dem Bereich effizient arbeiten.
Einer der Gründe für die schwache Umsetzung einer effektiven IT-Risikostrategie liegt in der unterschiedlichen Einschätzung des Risikopotenzials. So stufen nur acht Prozent der CIOs die Geschäftsprozesse als kritisch für das IT-Risiko ein. Bei IT-Leitern haben sie mit 22 Prozent einen viel höheren Stellenwert. Dafür bewerten 23 Prozent der CIOs die Konformität mit Richtlinien und Compliance als besonders kritisch, aber nur 16 Prozent der IT-Leiter teilen diesen Gedanken.
Laut der Studie kann diese differenzierte Sichtweise innerhalb der IT-Abteilungen sogar einen eigenen Risikofaktor für die übergeordneten Geschäftsprozesse darstellen. Der Grund: Im Ergebnis können Steuerungsprozesse nicht gezielt eingesetzt, Ressourcen nicht genutzt und kein effektives IT-Risiko-Management betrieben werden.
Fünf Schritte einer erfolgreichen Strategie
Der Report beschreibt in fünf Schritten, wie eine erfolgreiche IT-Risikostrategie im Unternehmen implementiert werden kann. Unter anderem gehören dazu die Entwicklung eines ganzheitlichen Ansatzes, die Priorisierung und Quantifizierung des Risikopotenzials sowie die kontinuierliche Messung der Effektivität.
Die Untersuchung zeigt, dass gerade mal ein Viertel der Firmen die fünf Schritte bereits effizient befolgen. Genauso viele verfügen über umfassende Steuerungs- und Messmethoden. Diese Unternehmen haben vielschichtigere Risikoebenen dafür aber auch weniger IT-Störfälle zu melden. Der ganzheitliche Steuerungsansatz steigert die Effektivität der IT und reduziert gleichzeitig das Risikopotenzial.
Für die Studie "IT Risk Management Report" befragte Symantec weltweit 538 Unternehmen aus 37 Industrie-Segmenten.