Unterschiedliche Erwartungshaltung:
Business-Manager erwarten ein besseres Engagement als Priorität der Digitalen Transformation. Während die IT-Entscheider die Systemintegration als das oberste Ziel postulieren. Es überrascht nicht, dass die Security-Funktionen vor allem die Sicherheit der Informationen innerhalb der Organisation gewährleisten möchten.
Interessenkonflikte sind schwer zu überwinden. Die immanenten Merkmale der Unternehmen und die Art mit jeder Funktion verbundenen Ziele machen es schwierig, die Gleichung „Risiken versus Agilität“ zu lösen. Dies wird von allen Funktionsträgern so gesehen. Während für 62,8% der Befragten die Schaffung neuer Produkte/Dienstleistungen bzw. die Beschleunigung bei der Markteinführung als oberstes Ziel bei der Digitalen Transformation angegeben werden, sind 67% der Befragten der Anstich, dass die Vereinbarkeit konkurrierender Prioritäten das primäre Hemmnis bei der Umsetzung einer effektiven Digitalen Transformation ist.
Cyber-Security: Das damit verbundene Risiko wird nicht so stark wahrgenommen, wie manche glauben!
Die Verbesserung der betrieblichen Effizienz wird als Primärziel von 24,96% aller Befragten genannt, dennoch wird diese nicht als Treiber der Wertschöpfung gesehen. Weitere Ziele sind die Beseitigung von Budget-Engpässen sowie die Fragmentierung und die mangelnde Integration des Sicherheitsportfolios und der Fachkräftemangel. All dies sind Gründe, die uns daran hindern Maßnahmen umzusetzen, die von den Vorschriften und Aufsichtsbehörden in diesem Bereich gefordert werden.
Die Notwendigkeit bei Unternehmen vom absoluten Begriff der Security zum relativen Begriff des Risiko Managements überzugehen.
Die Transformation sorgt dafür, dass IT Sicherheit nicht mehr als obskures und kostspieliges Hemmnis wahrgenommen wird, sondern ein objektives Kriterium für das Risiko-Management im Unternehmen darstellt. Die Umsetzung eines risikobasierten Ansatzes macht die potenziellen Auswirkungen auf das Geschäft des Unternehmens deutlich. Die Bedeutung wird für alle verständlich, messbar und vergleichbar, so dass sich Unternehmen klare Ziele und Regeln setzen müssen, um die Fortschritte bei den getätigten Investitionen auch messen zu können.
Sicherheitsthemen in die Planung von Neuentwicklungen integrieren.
Cyber-Security sollte keine Option darstellen. Insbesondere da mehr als die Hälfte der befragten Entscheidungsträger davon überzeugt sind, dass die Integration von Sicherheit in die Planung bei Neuentwicklungen eine echte Wertschöpfung darstellt. Dennoch scheint dies in der praktischen Umsetzung eine echte Herausforderung zu sein, da nur 1 von 10 Unternehmen (13%) sich mit dem Thema bereits heute auseinandersetzen, während sich weitere 50% nur von Fall zu Fall mit Cyber-Security beschäftige.
Die Nutzung eines risikobasierten Ansatzes um geschäftliche Auswirkungen deutlich zu machen, ist der wesentliche Ausgangspunkt für ein wirksames Risiko-Management im Allgemeinen und ein wirksames Management der Cyber-Security im Besonderen.
Eine Metamorphose ist im Gange – aber die Verlockung eines hohen Gewinns bleibt.
Wenn es um Sicherheit von Informationssystemen und von Netzen geht, beginnen sich die Linien zu verschieben. Sicherheit sollte nicht das Geschäft eines einzelnen Mitarbeiters sein, sondern ein integraler Bestandteil der Kultur einer jeden Abteilung. Unternehmen und Organisationen haben bereits in einer Startphase begonnen zu digitalen Plattformen zu migrieren. Über alle Funktionen betrachtet integrieren fast 26% der Unternehmen die Sicherheit von Systemen und Netzen bereits in der Entwicklungsphase (37,7% der Business-Funktionen, 27,3% der Security-Funktionen und 23,2% der IT-Funktionen).
Unabhängig vom Versprechen einer sicheren Transformation der Arbeitsplätze, neigen Organisationen in einem zunehmend wettbewerbsorientierten Marktumfeld immer noch dazu, die Anwendersicherheit gegenüber der Unterstützung von Geschäftsinitiativen zu vernachlässigen. Der CIO ist besser auf regulatorische Risiken vorbereitet als auf die Risiken der Anwendersicherheit.
Cyber-Security-Governance überdenken, um den Wandel zu beschleunigen
Während CIOs und CISOs auf einer gemeinsamen Linie liegen was den Nutzen und die formale Herangehensweise an die Sicherheitsthemen angeht, unterscheiden sich ihre Ansichten jedoch wesentlich wenn sie gefragt werden, was im Hinblick auf die betriebliche Sicherheit notwendig und wichtig ist.
Security Manager legen großen Wert auf die unternehmensweite Integration von Sicherheit (Integration und Optimierung zur Unterstützung des Geschäfts). IT-Manager verstehen die Herausforderung, ein engagiertes Team zu unterhalten, und sie sind eher bereit, wichtige Sicherheitsbereiche an Dienstleister auszulagern.
Der CISO – der unentbehrliche Vermittler
Mit einer besseren Vision über potentielle Risiken ist der CISO ein wichtiger Akteur im Unternehmen, da nur der CISO in der Lage ist, Cyber-Bedrohungen in Geschäftsrisiken zu transformieren und auch geeignete Lösungen zur Prävention zu empfehlen. Es liegt in der Verantwortung des CISO einen risikobasierten Ansatz der Cyber-Security in die Unternehmen zu tragen und durch geeignete Werkzeuge und vor allem durch Schärfung einer Risiko- / Security-Kultur über alle Ebenen der Organisation hinweg zu verbreiten.
In der Tat ist dies die Hauptrolle, die dem CISO von den befragten Entscheidungsträgern zugewiesen wird: Kooperieren mit Geschäftsbereichen zur Förderung von Aktivitäten innerhalb einer vereinbarten Risikobereitschaft (47%), vor der Verringerung der Wahrscheinlichkeit von (internen und externen) Bedrohungen, die das Unternehmen und seine Vermögenswerte gefährden (45%) und der Integration der Sicherheit in das Unternehmensumfeld, um Kosten- und Effizienzvorteile zu steigern (43%).
Weitere Informationen:
Die vollständige Umfrage wird in Form von 3 Whitepapers zur Verfügung gestellt. Die Aufteilung auf drei Whitepapers geschieht nicht um einen Spannungsbogen zu schaffen, sondern um die jeweils grundlegenden Tendenzen der Umfrage besser hervorheben zu können. Das erste Whitepaper betrifft das Risikomanagement und die geschäftlichen Auswirkungen, das zweite die Sicherung der Digitalen Transformation und die Digitalisierung der Security, und die dritte DevSecOps und die operative Exzellenz der Sicherheit.
Methodik:
Die Unternehmensbefragung wurde vom 22. August – 19. September 2019 in Frankreich, Norwegen, Dänemark, Österreich, Deutschland, Schweiz, Belgien, Luxemburg und Saudi-Arabien durchgeführt. Im Auftrag von Devoteam befragte das IDC-Institut (IDG Group) 601 Entscheider aus europäischen und nahöstlichen Unternehmen mit mehr als 500 Mitarbeitern. Die Befragten wurden in drei unterschiedliche Kategorien unterteilt: Business (CEO, CFO, Business Manager), IT (CIO und andere IT-Manager) und Security (CISO und andere Security Manager). Die Befragten wurden zu einer Vielzahl von Aspekten angesprochen, die insbesondere mit der Herangehensweise an die Cyber-Security und der Ausrichtung ihrer diesbezüglichen Ziele insbesondere bezogen auf die digitale und schriftliche Transformation im Unternehmen zusammenhängen.