Geschäftsmodelle auf Basis des Internet der Dinge erhöhen die Anforderungen an die IT-Sicherheit. Laut einer Lünendonk-Studie gewinnt in Unternehmen daher die Position des Chief Information Security Officer an Bedeutung.
Unternehmensübergreifende Geschäftsprozesse auf Basis von IT erhöhen die Anforderungen an die IT-Security. „In Zeiten, in denen die Fachbereiche immer mehr IT-relevante Projektbudgets verantworten und Unternehmensprozesse oft mit Cloud-Services integriert werden, muss das Verständnis für die Bedeutung der IT-Security über die IT-Abteilung hinaus wirken“, erläutert Hartmut Lüerßen, Partner bei Lünendonk und Autor des Whitepapers „IT-Security in Strategie und Organisation“. Strategische Sichtbarkeit und Verankerung in der Organisation seien dafür gleichermaßen wichtige Faktoren.
Security muss ein fester Teil der IT-Strategie werden
Damit eine IT-Security-Strategie präventiv wirken könne und das Unternehmen jederzeit über eine Risikobewertung von potentiellen Schwachstellen und tatsächlichen Vorfällen verfüge, müsse die IT-Security-Strategie ein fester Teil der IT-Strategie werden. Die Risiken sollten allerdings nicht nur aus IT-Perspektive bewertet werden. Weil die wirtschaftlichen und rechtlichen Folgen möglicher Schwachstellen und Versäumnisse der Sorgfaltspflichten existenzbedrohend für das Unternehmen und strafrechtlich relevant für die Geschäftsführer und Vorstände sein könnten, gehörten diese Analysen zu einer umfassenden IT-Security-Strategie. Diese müsse bei Veränderungen in den Prozess- und Organisationsstrukturen erneuert werden.
Wie Unternehmen den Status quo des Stellenwerts einer IT-Security-Strategie beurteilen und welche Handlungsfelder sich daraus ergeben, zeigt eine Befragung von 76 Unternehmen im Rahmen der Strategietage IT Security 2016. Bezogen auf die Umsatzgröße gehören die befragten Unternehmen zum gehobenen Mittelstand.
Der Mittelstand hat in Sachen IT-Sicherheit Nachholbedarf
87 Prozent der befragten Unternehmen haben die IT-Security-Strategie als festen Teil ihrer IT-Strategie implementiert. Damit habe das Thema zumindest auf der IT-Ebene die erforderliche Sichtbarkeit und Bedeutung. Dass lediglich 13 Prozent der Unternehmen IT-Security unabhängig von der IT-Strategie betrachten, deute darauf hin, dass sich ein durchgängiger Ansatz über die verschiedenen Unternehmensbereiche und Prozesslandschaften nur schwer umsetzen lasse.
Fast alle Unternehmen, die IT-Security als Teil ihrer IT-Strategie betrachten, führten auch rechtliche und wirtschaftliche Risikobewertungen im Rahmen der IT-Security-Strategie durch. Dennoch sind laut Lünendonk längst nicht alle Fragen geklärt: „Gerade in Bezug auf den Stellenwert der IT-Security-Strategie besteht im gehobenen Mittelstand oft noch Nachholbedarf“, erläutert Lüerßen.
Der Chief Information Security Officer braucht eine starke Position
Für die Rolle der IT-Security in der Organisation gelte die Funktion des Chief Information Security Officers sowie seine Position und Berichtswege als wesentliche Gradmesser. Bei 49 Prozent der befragten Unternehmen berichte der Chief Information Security an den CIO, bei 39 Prozent direkt an den Vorstand. Letzteres verleihe seiner Rolle im Unternehmen zusätzliches Gewicht. Die Bedeutung dieser Position in der Organisation beantworte die Frage, ob die IT-Security in wichtigen Projekten bereits bei den strategischen Anforderungen berücksichtigt wird. „Ohne Kraft in der Funktion und der Organisation wird es einem Chief Information Security Officer schwer fallen, die notwendige Governance durchzusetzen“, erläutert Lüerßen.
Das Lünendonk-Whitepaper „IT-Security in Strategie und Organisation“ steht unter http://www.luenendonk.de/ kostenfrei zum Download bereit. jf
Anzeige
Business Intelligence neuester Stand: Die Marktübersicht der BI-Lösungsanbieter und Dienstleister 2015 von isi Medien ist verfügbar. Zum E-Paper hier klicken.
Über Beteiligungsmöglichkeiten für 2016 informieren Sie Frau Fellermeier unter 089/ 90 48 62 23, cfellermeier@isreport.de und Herr Raupach unter 089/ 90 48 62 30.
