.jpg)
Einer neuen Studie zufolge ist für die Geschäfts- und IT-Leiter in Europa Cybersecurity ein viel stärkeres Thema fürs Business als in Amerika. Aber auch hier gibt es in manchen Bereichen noch viel Luft nach oben. Die Studie wurde im Auftrag von Trend Micro, einem der weltweit führenden Anbieter von Cloud-Sicherheit, durchgeführt und befragte 100 Führungskräfte in den Bereichen Business, Cybersicherheit und IT. Die neu geschaffene Rolle eines Business Information Security Officer (BISO) soll’s richten.
Die Studie ergab, dass 73 Prozent der europäischen Befragten Cybersecurity heute als geschäftsrelevantes Thema betrachten – in Nordamerika hingegen sind es nur 58 Prozent. Darüber hinaus gaben 80 Prozent der europäischen Unternehmen an, dass die meisten oder zumindest einige ihrer Vorstandsmitglieder Wissen im Bereich Cybersicherheit haben.
Die Führungsriege muss mit der Zeit gehen
Was die Studie aber deutlich zeigt ist, dass sich der Vorstand mittlerweile stärker mit dem Thema Sicherheit auseinandersetzt als noch vor zwei Jahren. Eine Notwendigkeit in Zeiten wie diesen für fundierte Entscheidungsgrundlagen. Vorstandsmitglieder sind nicht nur besser informiert und involviert, sondern stellen auch kritischere Fragen, setzen sich mit Herausforderungen auseinander und schlagen eine Brücke zwischen Cybersecurity und Business, so die Studie.
Es besteht erheblicher Entwicklungsbedarf
Weniger als die Hälfte der europäischen Befragten bewertete das Engagement ihrer Führungskräfte für Cybersicherheit (49 Prozent) oder die Absicht ihres Unternehmens, Cybersicherheit in Geschäftsprozesse und IT-Projekte einzubinden (45 Prozent), als ausreichend oder angemessen. Mehr als die Hälfte (56 Prozent) hingegen beurteilte das Engagement um die Sicherheit in ihrem Unternehmen als angemessen, ausreichend oder schlecht.
Reduziert die Geschäftsführung ihr Engagement für Cybersicherheit, kann auf diese Weise unbeabsichtigt einerseits das Risikopotenzial steigen und andererseits die Implementierung von Sicherheitsmaßnahmen komplexer und kostspieliger als notwendig werden. In Anbetracht dessen, dass 77 Prozent der europäischen Befragten die Einschätzung teilen, Cyber-Risiken steigen vor allem auf Grund zunehmender Bedrohungen, erscheint dies problematisch.
Darüber hinaus sind europäische Unternehmen ihren nordamerikanischen Pendants auch im Bereich Governance, Risk und Compliance (29 Prozent gegenüber 15 Prozent) und Drittanbieter-Risikomanagement (22 Prozent gegenüber 13 Prozent) voraus. Allerdings investieren sie nicht in Anwendungssicherheit (3 Prozent), Security-Entwicklung/Software Development Life Cycle (6 Prozent) oder Endpunktsicherheit (5 Prozent), obwohl diese Bereiche seit Beginn der Corona-Pandemie wieder verstärkt im Mittelpunkt stehen.
„Aus der Studie geht deutlich hervor, dass die Datenschutz-Grundverordnung (DSGVO) europäische Unternehmen zu einer engeren Zusammenarbeit zwischen Cybersecurity und Business zwang. Neben dieser aus Security-Sicht positiven Entwicklung ist es jedoch bedenklich zu sehen, dass Bereiche wie Anwendungssicherheit und die sichere Softwareentwicklung weiterhin vernachlässigt werden.“ – Richard Werner, Business Consultant bei Trend Micro.
Und weiter: „Eben jene Bereiche werden für Unternehmen jedoch unerlässlich sein, um digitale Transformationsprojekte sicher umzusetzen und stellen dadurch die Grundvoraussetzung für wirtschaftliches Wachstum nach der Pandemie dar. Deswegen muss der erste Schritt darin bestehen, Business-Entscheider von der strategischen Relevanz von Cybersicherheit für den Geschäftserfolg zu überzeugen.“
So sollen sich IT und Business näher kommen
Aus dem Bericht gehen folgende Empfehlungen zur Verbesserung der Abstimmung zwischen IT und Business hervor:
- Schaffung der zusätzlichen Rolle eines Business Information Security Officer (BISO) im Unternehmen, um die Sicherheit von Geschäftsprozessen, kritischen Assets, sensiblen Daten und Aufgaben der Mitarbeiter zu erhöhen.
- Veränderung der Reporting-Strukturen, in Folge derer der CISO direkt an den CEO berichtet, um höhere Sichtbarkeit und mehr Abstimmung zu erzielen.
- Ausarbeitung und Dokumentation eines Top-Down-Konzepts für Cybersecurity, das durch Key Performance Indicators (KPIs) und etablierte Metriken untermauert wird, um eine stärkere Kommunikation zwischen CISOs und Geschäftsführern zu gewährleisten.
Die von Trend Micro in Auftrag gegebene Studie (1) wurde von der Enterprise Strategy Group (ESG) durchgeführt.
Den vollständigen Bericht „Cybersecurity in the C-suite and Boardroom“ können Sie hier aufrufen.
