Einhaltung von Vorschriften auf Platz Eins als wichtigster Motor für Informationssicherheit, noch vor Würmern und Viren

Den Organisationen mangelt es jedoch an Investitionsgelegenheiten, die die Einhaltung von Vorschriften mit sich bringen, um Informationssicherheit als einen integrierenden Bestandteil ihres Geschäftes zu fördern, geht aus der 8. jährlichen Global Information Security Umfrage von Ernst & Youngs hervor

Die Einhaltung von Vorschriften steht auf Platz Eins als der wichtigste Motor für Informationssicherheit und überholt erstmals Würmer und Viren. Dies geht aus einer heute vom führenden Anbieter von Professional Services, Ernst & Young, präsentierten Studie hervor.

Schon die ungeheure Anzahl an Vorschriften und die Konsequenzen von deren Nicht-Einhaltung hat das Thema Informationssicherheit auf die Vorstandsetage gehoben. Nahezu zwei Drittel der Befragten — sie umfassen 1.300 weltweit tätige Unternehmen, Regierungsstellen und gemeinnützige Agenturen in 55 Nationen — nannten die Einhaltung von Vorschriften wie Sarbanes-Oxley, die 8. Direktive der EU oder ihr Äquivalent als den wichtigsten Motor für die Informationssicherheit.

Den Organisationen fehlen jedoch die seltenen Investitionsgelegenheiten, die die Einhaltung von Vorschriften bieten, um die Informationssicherheit als einen integrierenden Bestandteil ihres Geschäftes voranzutreiben. „Die Einhaltung von Vorschriften stellt sich mehr als eine Notwendigkeit dar, denn als ein Katalysator für Informationssicherheit, der innerhalb von Organisationen strategisch abgeglichen werden soll“, sagte Edwin Bennett, Global Director von Ernst & Youngs Technologie- und Sicherheitsrisikodiensten. „Man möchte meinen, dass sich mit der Aufmerksamkeit, die die Informationssicherheit wegen der Einhaltung von Vorschriften erhält, die Einstellung zur Informationssicherheit in den Organisationen verbessert und die Informationssicherheit als eine Funktion stärker in ihre strategischen Initiativen integriert wird. Leider wird dies nicht konsequent umgesetzt. Die Kluft zwischen dem wachsenden Risiko, das durch die rasanten Veränderungen in der globalen Geschäftswelt entsteht und dem, was die Informationssicherheit unternimmt, um diesen Risiken gerecht zu werden, vergrössert sich ständig. Dieses Muster zieht sich quer durch alle Organisationen, unabhängig von ihrer Grösse und ihrem Ort“.

Unternehmen drängen auf die Einführung von neu entstehenden Technologien

Die Umfrage von Ernst & Young ergab, dass die Nachfrage durch Unternehmen und die sinkenden Kosten von drahtloser Konnektivität die rasche und weit verbreitete Einführung von mobiler Technologie vorantreiben. Aber da diese Geräte die Sicherheit des kontrollierten Unternehmensumfeldes verlassen, liegt der Schutz der Informationswerte und des geistigen Eigentums, die diese enthalten, immer mehr in der Hand von Einzelpersonen — eine Verantwortung, die viele Organisationen noch nicht vollkommen akzeptiert und auch nicht vorhergesehen haben. „Weniger als die Hälfte der Organisationen treffen Vorkehrungen für allgemeine Nutzer von Information, die geschult werden oder denen die Bedeutung von Informationssicherheitsproblemen mit diesen Technologien vor Augen geführt werden sollen. Noch weniger Mitarbeiter erhalten Schulungen darüber, wie sie bei Sicherheitsereignissen reagieren sollen“, stellt Bennett fest.

Andere, sich rasch entwickelnde Technologien wie die Voice-over IP Telefonie, Open Source und Server Virtualisierung, die das Potential haben, den Wettbewerbsvorteil von Unternehmen zu vergrössern, werden von weniger als 20 % der Organisationen als ein signifikantes Sicherheitsrisiko betrachtet, trotz der ernsten Bedrohungen, die diese mit sich bringen. In den nächsten 12 Monaten betrachten Organisationen neu entstehende Technologien allgemein als ein wachsendes Sicherheitsproblem. Trotzdem haben ein Viertel von ihnen keine Pläne, gegen das Problem innerhalb dieses Zeitraums oder später etwas zu unternehmen.

Risiko durch Dritte bleibt ein Thema

Outsourcing bleibt eine Bedrohung für die Informationssicherheit, da viele Organisationen dem Lieferanten-Risikomanagement noch immer nicht genügend Beachtung beimessesn — dem Prozess der Einschätzung und der Einschränkung von Risiken, einschliesslich Due Diligence und regelmässige Überprüfungen der Praktiken und Prozeduren, die die Produkte und Dienstleistungen von Lieferanten unterstützen. Die Umfrage zeigt, dass ein Fünftel der Befragten auf das Thema des Lieferanten-Riskomanagements überhaupt nicht eingeht und ein Drittel berichtet, sie haben nur informelle Prozeduren eingerichtet, um dies zu tun.

„Organisationen dürfen nicht länger glauben, es reiche aus, nur auf ihre eigenen Informationssicherheitsthemen und -bedrohungen Rücksicht zu nehmen“, sagte Bennett. „Da die Welt immer kleiner wird und mehr und mehr Information zwischen Unternehmen fliesst, müssen alle Organisationen die Sicherheit ihres Geschäftspartners, Outsourcing-Vereinbarungen, Lieferanten und Kunden einbeziehen. Sonst kann der Wert, der durch diese Vereinbarungen geschaffen wird, auf Grund von angenommenen oder wirklichen Sicherheits-, Datenschutz- oder Identitätsverstössen rasch abnehmen oder ganz zunichte gemacht werden. Organisationen sollten auch erwägen, ihr Engagement für gute Informationssicherheit durch die Anwendung von anerkannten Normen oder durch Zertifizierung zu zeigen“.

Organisationsanpassung und Umsetzung

Obwohl das Bewusstsein über Informationssicherheit als ein kritisches Thema innerhalb des Vorstands und des führenden Managements zugenommen hat, beschränken diese die Aktivitäten für die Informationssicherheit weiterhin auf operative und taktische Themen, anstatt sie als strategische Angelegenheiten zu betrachten.

„Mit der geeigneten Organisationsanpassung und Umsetzung kann die Informationssicherheit signifikante Beiträge zu den strategischen Initiativen und zum gesamten Risikomanagement leisten“, hält Bennett fest. „Organisationen, die Informationssicherheit auf diese Weise anwenden, beziehen Unternehmens-, IT- und Informationssicherheitsleiter in die Identifizierung spezifischer Bereiche ein, wo die Informationssicherheit zu strategischen Initiativen beitragen kann, wie etwa M & A und Outsourcing von Geschäftsfeldern. Sie verwenden anerkannte Informationssicherheitsstandards, hoch entwickelte Praktiken und die geeigneten Ressourcen“.