(ots) - "Datensicherheit ist für Unternehmen von hoher
strategischer Bedeutung und doch beherrschen die meisten Unternehmen
ihre Sicherheitsprozesse nur unzureichend", sagt Dr. Boris Piwinger,
Berater und Experte für Informationssicherheit bei A.T. Kearney. "Für
Funktionen wie Produktion oder Beschaffung haben die Verantwortlichen
ein klares Verständnis von operativer Exzellenz. Doch bei
Informationssicherheit herrscht noch eine große Unsicherheit: 79
Prozent der Unternehmen haben nach eigenen Angaben keine klaren
Vorstellungen zu Effizienz im Informationssicherheitsmanagement - und
die restlichen 21 Prozent haben meist auch kein klares Konzept."
Eine aktuelle Studie von A.T. Kearney und der Mannheim Business
School unter Chief Information Security Officern (CISOs) weltweit
zeigt, dass die Unternehmen beim effizienten Management von
Informationssicherheit noch am Anfang stehen.
Viele Unternehmen wissen der Studie zufolge nicht, in welchem
Verhältnis ihr jeweiliger Sicherheitsaufwand zu einem möglichen
Schaden steht: "Die wenigsten Unternehmen überblicken die
Sicherheitsrisiken und ihre Auswirkungen und verfügen über eine
differenzierte Einschätzung", erklärt Holger Röder, Partner bei A.T.
Kearney und Leiter der globalen Strategic IT Practice. "Für
Unternehmen, die über personenbezogene oder beziehbare Daten
verfügen, ist natürlich klar, dass sie ein sehr hohes Niveau zum
Schutz all ihrer Kundendaten brauchen. Die meisten anderen aber
müssen die Sicherheitsniveaus erst definieren - damit tun sich viele
Unternehmen sichtlich schwer, erst recht, wenn es um
Big-Data-Anwendungen geht."
Aus den Ergebnissen der Studie ergeben sich acht
Best-Practice-Ansätze: Aufbauend auf einem klaren Verständnis, was
die Kronjuwelen des Unternehmens sind und adäquaten Schutzmaßnahmen
für unterschiedliche wertvolle Informationen, ließen sich Transparenz
und Effizienz im Sicherheitsmanagement zum Beispiel durch
Shared-Service-Center erhöhen. Ihre Leistungen würden bei
Inanspruchnahme den Fachbereichen in Rechnung gestellt. Die Mehrheit
der Unternehmen zählt heute noch die Kosten für
Informationssicherheit zu den Overhead-Kosten und erschwert damit
Kostentransparenz und Kostenbewusstsein.
Organisationen, bei denen der Chief Information Security Officer
direkt an den Vorstand berichtet, sind tendenziell erfolgreicher beim
Management der Informationssicherheit, wie die Studie zeigt.
Ebenso erweisen sich Bottom-up-Budgetierung und eine klarer
Priorisierung der Maßnahmen als wirksame Ansatzpunkte: "Die weit
verbreitete Faustregel, dass die Kosten für Informationssicherheit
fünf Prozent des gesamten IT-Budgets ausmachen, ist eine denkbar
schlechte Orientierung für Unternehmen, die nach Effizienz ihrer
Informationssicherheit streben", sagt Piwinger: "Unternehmen müssen
unterscheiden zwischen Maßnahmen, die sie zwingend brauchen und
solchen die nur 'nice to have' sind. Darauf aufbauend können sie ihre
Ressourcen vor allem dort einsetzen, wo sie am meisten nutzen."
Stress- und Penetrationstests erlauben es, Schwachstellen schnell
zu entdecken und gezielt anzugehen. Netflix zum Beispiel, ein
"hochwertiges Angriffsziel", führt wöchentlich über Tausend Tests
durch, um Lücken zu schließen. Weniger verwundbare Unternehmen
könnten mit weniger auskommen.
Unternehmensübergreifende Zusammenarbeit ist ein weiterer Schritt,
die Effizienz des Sicherheitsmanagements zu verbessern. Besonders
Industrie-Peers und Unternehmen gleicher Größe sollten sich beim
Thema Informationssicherheit nicht als Konkurrenten verstehen,
sondern wechselseitig voneinander profitieren.
Und schließlich könnten auch Automatisierungsprozesse, die zum
Beispiel auf künstliche Intelligenz und Verhaltensanalysen
zurückgreifen, helfen, die Ressourcen zu schonen und die Wirksamkeit
zu erhöhen. Wenn es dann noch gelingt, die Mitarbeiter einzubinden,
ist man einen großen Schritt weiter.
"Seit den Enthüllungen von Edward Snowden ist ins allgemeine
Bewusstsein gedrungen, dass Informationssicherheit die Unternehmen in
den nächsten Jahren noch gewaltig herausfordern wird", sagt Piwinger.
"Industrie 4.0., das Internet der Dinge und ähnliche Entwicklungen
machen die Unternehmen zu attraktiven Angriffszielen. Cyberattacken
werden häufiger und heftiger: Unternehmen müssen lernen,
Informationssicherheit höchst effizient zu managen. Die neue
EU-Datenschutzverordnung übt einen heilsamen Druck auf die
Unternehmen aus, dem kann sich niemand mehr entziehen."
Weitere Informationen zu der aktuellen Studie finden Sie hier: htt
ps://www.atkearney.com/paper/-/asset_publisher/dVxv4Hz2h8bS/content/t
he-golden-rules-of-operational-excellence-in-information-security-man
agement/10192
Ãœber A.T. Kearney
A.T. Kearney zählt zu den weltweit führenden
Unternehmensberatungen für das Top-Management und berät sowohl global
tätige Konzerne als auch führende mittelständische Unternehmen und
öffentliche Institutionen. Mit strategischer Weitsicht und operativer
Umsetzungsstärke unterstützt das Beratungsunternehmen seine Klienten
bei der Transformation ihres Geschäftes und ihrer Organisation. Im
Mittelpunkt stehen dabei die Themen Wachstum und Innovation,
Technologie und Nachhaltigkeit sowie die Optimierung der
Unternehmensperformance durch das Management von Komplexität in
globalen Produktions- und Lieferketten. A.T. Kearney wurde 1926 in
Chicago gegründet. 1964 eröffnete in Düsseldorf das erste Büro
außerhalb der USA. Heute beschäftigt A.T. Kearney rund 3.500
Mitarbeiter in über 40 Ländern der Welt. Seit 2010 berät das
Unternehmen Klienten klimaneutral. Weitere Informationen finden Sie
unter www.atkearney.de und auf Facebook:
www.facebook.com/atkearney.de
Pressekontakt:
Regina Körner
Director Marketing & Communications
+49 211 1377 2550 Direct
+49 175 2659 550 Mobile
regina.koerner(at)atkearney.com
Assistenz: Petra Werner
+49 69 7474 6190