Formale Programme unausgereift
Risiko-Management ohne klare Linie
Die Studienautoren wollten wissen, was Unternehmen in puncto Risiko-Management konkret tun. 73 Prozent geben an, Informationen zu kategorisieren. 72 Prozent identifizieren Schlüssel-Informationen. 68 Prozent identifizieren Bedrohungen und 62 Prozent bewerten Schwachstellen. Alle diese Punkte stuft Ponemon als "Erste Schritte" ein.
Bei den "zweiten Schritten" sieht es dünner aus. Das heißt: 60 Prozent der Studienteilnehmer bewerten Risiken. 56 Prozent haben Kontrollen implementiert und 52 Prozent ein ständiges Monitoring.
Wonach die Effizienz von RM beurteilt wird
Sechs von zehn Befragten geben an, die Effizienz ihres Risiko-Managements zu messen. Dabei legen sie folgende Metriken an: Kostensenkung beim Security-Management (46 Prozent), Rückgang ungeplanter System-Ausfälle (44 Prozent) und Rückgang der Zahl bekannter Schwachstellen (40 Prozent).
Weiter nennen sie die Verringerung bei Datensicherheitsvorfällen (39 Prozent), die Reduzierung der Policy-Verstöße (37 Prozent) sowie den Prozentsatz Malware-freier Endgeräte (36 Prozent) und die Anzahl der Endnutzer, die Sicherheits-Schulungen durchlaufen haben (34 Prozent).
Treiber für Risiko-Management ist vor allem Compliance: 43 Prozent der Befragten geben zunächst Gesetze und Regularien an. 41 Prozent nennen außerdem den Wunsch, rechtzeitig festzustellen, wo neue Kontroll-Mechanismen nötig sind. Gut jeder Vierte (26 Prozent) verspricht sich außerdem mehr Risiko- und Sicherheitsbewusstsein bei der Geschäftsleitung.