Beobachten
- Pressemitteilung BoxID 512895
Top-Manager müssen Cyber-Gefahren und Datenschutz ernster nehmen
(PresseBox) (Schwalbach, )
.
- Die Studie des Carnegie Mellon CyLab im Auftrag von RSA beleuchtet die Herausforderungen beim Schutz der Privatsphäre und der Bewertung von Sicherheitsrisiken
- Unternehmen in Europa sind konsequenter bei Sicherheit und Datenschutz als US-Unternehmen
- Nachholbedarf haben Energie- und Industrieunternehmen
- Chief Privacy Officer (CPO) sind in den Chefetagen noch Mangelware
- Die Studie gibt 12 Empfehlungen zur Verbesserung der Governance in Bezug auf die Unternehmenssicherheit
Der Carnegie Mellon Governance of Enterprise Security: CyLab 2012 Report untersucht, wie führende Unternehmen weltweit bei der Cyber-Governance aufgestellt sind; betrachtet werden die Regionen Asien, Europa und Nordamerika sowie ausgewählte Branchen.
Die Studie zeigt, dass Aufsichtsräte und Führungskräfte das Risiko-Management ernst nehmen. Dennoch gibt es noch deutliche Defizite beim Verständnis der Bewertung und Behandlung von IT-Sicherheitsrisiken im Zusammenhang mit dem Enterprise-Risk-Management. Konkret bedeutet dies, dass Vorstände noch nicht ausreichend verstehen, wie stark das Geschäft ihres Unternehmens von IT-Systemen und der sicheren Datenspeicherung abhängig ist. Weniger als zwei Drittel der befragten Organisationen haben Vollzeit-Personal in Schlüsselpositionen für die Daten- und IT-Sicherheit, zum Beispiel einen Chief Information Security Officer (CISO), Chief Security Officer (CSO), Chief Privacy Officer (CPO) oder Chief Risk Officer (CRO).
Die Umfrageergebnisse bestätigen, dass der Finanzsektor bei Sicherheit und Governance weiter ist als andere Branchen. Vorstände im Finanzsektor legen eine hohe Priorität auf das Cyber-Risiko-Management. Im Gegensatz dazu widmen sich Vorstände in Energie- und Industrieunternehmen zu wenig kritischen Themen wie dem Lieferanten-Management, der Computer- und Informationssicherheit sowie der Aufrechterhaltung des IT-Betriebs.
Obwohl Europa in Bezug auf Datenschutzbestimmungen führend ist, geben nur drei Prozent der Befragten an, dass ihr Unternehmen einen CPO hat. Im Gegensatz zu der verbreiteten Annahme, dass Unternehmen in den USA führend in puncto Sicherheit sind, zeigen die Ergebnisse, dass die Vorstände von US-Unternehmen nicht so weit sind wie Unternehmensführungen in Europa und Asien. Das zeigt sich in Punkten wie der regelmäßigen Überprüfung von Jahresbudgets, Rollen und Verantwortlichkeiten sowie Unternehmensrichtlinien.
Empfehlungen
Zur Verbesserung der Corporate Governance in Bezug auf Datenschutz und Sicherheit gibt die Studie eine Reihe von Empfehlungen:
1. Etablieren Sie auf Vorstandsebene getrennt vom Auditkomitee ein Risikokomitee, das für die Überwachung der Unternehmensrisiken inklusive der IT-Risiken verantwortlich ist. Stellen Sie Führungskräfte ein, die über Erfahrung auf den Gebieten Sicherheit, IT-Governance und Cyber-Bedrohungen verfügen.
2. Stellen Sie sicher, dass die Verantwortlichkeiten für Datenschutz und Sicherheit voneinander getrennt sind und die Verantwortlichkeiten hierfür eindeutig zugeordnet sind. CIO, CISO/CSO und CPO sollten zudem unabhängig voneinander an die Unternehmensführung berichten.
3. Durchleuchten Sie die bestehende Organisationsstruktur und etablieren Sie ein unternehmensübergreifendes Team, das Datenschutz- und Sicherheitsaspekte bespricht sowie koordiniert und sich mindestens einmal im Monat trifft. Zu diesem Team sollten leitende Manager aus der Personal- und Rechtsabteilung, Public Relations und dem Einkauf gehören. Außerdem sollten CFO, CIO, CISO/CSO, CRO und CPO sowie die Geschäftsbereichsleiter zu diesem Team gehören.
4. Überprüfen und ergänzen Sie Ihren Unternehmenskodex, um eine Kultur zu schaffen, in der die Datenschutzrichtlinien respektiert und eingehalten werden.
5. Überprüfen Sie die Sicherheitsrichtlinien des Unternehmens und stellen Sie sicher, dass sie den höchsten Standards entsprechen. Die Richtlinien müssen einen Krisenreaktionsplan, Vorgaben für die Meldung von Sicherheitsverletzungen, Disaster Recovery sowie einen Krisenkommunikationsplan umfassen.
6. Stellen Sie sicher, dass Datenschutz- und Sicherheitsrichtlinien für Zulieferer (inklusive der Cloud- und Software-as-a-Service-Provider) den unternehmenseigenen Sicherheitsvorgaben entsprechen. Dazu gehören auch ein jährlicher Audit und die Vorgabe von Mindestanforderungen an Kontrollen. Die Kommunikations- und Benachrichtigungsprozesse im Falle eines sicherheitsrelevanten Vorfalls oder eines Verstoßes gegen die Sicherheitsrichtlinien sollten besonders kritisch in Augenschein genommen werden.
7. Führen Sie ein jährliches Audit der unternehmenseigenen Sicherheitsrichtlinien durch, das vom Audit-Komitee geprüft wird.
8. Überprüfen Sie jährlich das unternehmenseigene Sicherheitsprogramm und die Effektivität der Kontrollen und stellen Sie sicher, dass erkannte Schwachstellen oder Lücken geschlossen werden. Dies sollte vom Risikokomitee auf Vorstandsebene überwacht werden.
9. Fordern Sie vom leitenden Management regelmäßige Berichte über Datenschutz- und Sicherheitsrisiken ein.
10. Überprüfen Sie auf Vorstandsebene einmal jährlich die Budgets für das Management des Datenschutzes und der Sicherheitsrisiken.
11. Führen sie ein jährliches Audit ein, um die Einhaltung der Datenschutzrichtlinien sicherzustellen. Überprüfen Sie außerdem den Krisenreaktionsplan, die Vorgaben für die Meldung von Sicherheitsverletzungen, Disaster Recovery sowie den Krisenkommunikationsplan.
12. Bewerten Sie die aktuellen Cyberbedrohungen und die möglicherweise daraus resultierenden Verluste; überprüfen Sie, ob Ihre Versicherungen alle IT-Risiken adäquat abdecken.
RSA Zitat: Tom Heiser, President, RSA
"Die zunehmende Wichtigkeit digitaler Ressourcen und die immer komplexeren Cyber-Risiken erfordern, dass Führungskräfte und Aufsichtsräte das IT-Sicherheitsmanagement besser in das Tagesgeschäft integrieren. Die Aufsichtsgremien fragen mittlerweile verstärkt nach der IT-Sicherheit, allerdings müssen jetzt auch Taten folgen. Nötig ist ein in sich geschlossenes System für das IT-Management, damit sich Unternehmen auf ihre kritische IT-Umgebung verlassen können."
Carnegie Mellon Zitat: Jody Westby, CEO of Global Risk & Adjunct Distinguished Fellow, Carnegie Mellon CyLab
"Es ist zwingend notwendig, dass Aufsichtsgremien und Führungskräfte geeignete Governance-Maßnahmen ergreifen, um die EDV-Systeme und Daten ihrer Unternehmen zu schützen. Dies erfordert Aufsicht, eine unabhängige, von Experten geleitete Cyber-Gefahrenanalyse, die Rekrutierung von Vorstandsmitgliedern mit Cyber-Risiko- und Governance-Know-how sowie die Überprüfung des Versicherungsschutzes gegen Cyber-Risiken."
Kurzprofil RSA:
RSA, The Security Division of EMC, ist ein führender Anbieter von Sicherheits-, Risiko- und Compliance-Management-Lösungen. Für die Kunden von RSA ist die Lösung ihrer komplexen sicherheitsspezifischen Herausforderungen ein kritischer Faktor für den Unternehmenserfolg. Zu den Herausforderungen zählen das Management organisatorischer Risiken, die Absicherung des Zugriffs auf unternehmensinterne Ressourcen, der Nachweis der Einhaltung von Sicherheitsanforderungen sowie der Schutz von virtuellen Infrastrukturen und Cloud-Umgebungen.
Mit Identitätsprüfung, Kryptographie, Schlüsselmanagement, Security Information und Event Management (SIEM), Data Loss Prevention und Betrugsbekämpfung bis hin zu Enterprise Governance, Risk & Compliance (eGRC) sowie umfassenden Beratungsleistungen sorgt RSA für Transparenz und Vertrauen in digitale Identitäten, Transaktionen und Daten von Millionen von Anwendern. www.RSA.com
Kurzprofil Carnegie Mellon CyLab:
Carnegie Mellon CyLab ist ein universitäres, multidisziplinäres Forschungs- und Ausbildungszentrum für Computer- und Netzwerksicherheit, Datensicherheit und Software Assurance. Das CyLab hat seinen Sitz am College of Engineering an der Carnegie Mellon University. Mehr Informationen finden sich unter www.cylab.cmu.edu.
- Die Studie des Carnegie Mellon CyLab im Auftrag von RSA beleuchtet die Herausforderungen beim Schutz der Privatsphäre und der Bewertung von Sicherheitsrisiken
- Unternehmen in Europa sind konsequenter bei Sicherheit und Datenschutz als US-Unternehmen
- Nachholbedarf haben Energie- und Industrieunternehmen
- Chief Privacy Officer (CPO) sind in den Chefetagen noch Mangelware
- Die Studie gibt 12 Empfehlungen zur Verbesserung der Governance in Bezug auf die Unternehmenssicherheit
Der Carnegie Mellon Governance of Enterprise Security: CyLab 2012 Report untersucht, wie führende Unternehmen weltweit bei der Cyber-Governance aufgestellt sind; betrachtet werden die Regionen Asien, Europa und Nordamerika sowie ausgewählte Branchen.
Die Studie zeigt, dass Aufsichtsräte und Führungskräfte das Risiko-Management ernst nehmen. Dennoch gibt es noch deutliche Defizite beim Verständnis der Bewertung und Behandlung von IT-Sicherheitsrisiken im Zusammenhang mit dem Enterprise-Risk-Management. Konkret bedeutet dies, dass Vorstände noch nicht ausreichend verstehen, wie stark das Geschäft ihres Unternehmens von IT-Systemen und der sicheren Datenspeicherung abhängig ist. Weniger als zwei Drittel der befragten Organisationen haben Vollzeit-Personal in Schlüsselpositionen für die Daten- und IT-Sicherheit, zum Beispiel einen Chief Information Security Officer (CISO), Chief Security Officer (CSO), Chief Privacy Officer (CPO) oder Chief Risk Officer (CRO).
Die Umfrageergebnisse bestätigen, dass der Finanzsektor bei Sicherheit und Governance weiter ist als andere Branchen. Vorstände im Finanzsektor legen eine hohe Priorität auf das Cyber-Risiko-Management. Im Gegensatz dazu widmen sich Vorstände in Energie- und Industrieunternehmen zu wenig kritischen Themen wie dem Lieferanten-Management, der Computer- und Informationssicherheit sowie der Aufrechterhaltung des IT-Betriebs.
Obwohl Europa in Bezug auf Datenschutzbestimmungen führend ist, geben nur drei Prozent der Befragten an, dass ihr Unternehmen einen CPO hat. Im Gegensatz zu der verbreiteten Annahme, dass Unternehmen in den USA führend in puncto Sicherheit sind, zeigen die Ergebnisse, dass die Vorstände von US-Unternehmen nicht so weit sind wie Unternehmensführungen in Europa und Asien. Das zeigt sich in Punkten wie der regelmäßigen Überprüfung von Jahresbudgets, Rollen und Verantwortlichkeiten sowie Unternehmensrichtlinien.
Empfehlungen
Zur Verbesserung der Corporate Governance in Bezug auf Datenschutz und Sicherheit gibt die Studie eine Reihe von Empfehlungen:
1. Etablieren Sie auf Vorstandsebene getrennt vom Auditkomitee ein Risikokomitee, das für die Überwachung der Unternehmensrisiken inklusive der IT-Risiken verantwortlich ist. Stellen Sie Führungskräfte ein, die über Erfahrung auf den Gebieten Sicherheit, IT-Governance und Cyber-Bedrohungen verfügen.
2. Stellen Sie sicher, dass die Verantwortlichkeiten für Datenschutz und Sicherheit voneinander getrennt sind und die Verantwortlichkeiten hierfür eindeutig zugeordnet sind. CIO, CISO/CSO und CPO sollten zudem unabhängig voneinander an die Unternehmensführung berichten.
3. Durchleuchten Sie die bestehende Organisationsstruktur und etablieren Sie ein unternehmensübergreifendes Team, das Datenschutz- und Sicherheitsaspekte bespricht sowie koordiniert und sich mindestens einmal im Monat trifft. Zu diesem Team sollten leitende Manager aus der Personal- und Rechtsabteilung, Public Relations und dem Einkauf gehören. Außerdem sollten CFO, CIO, CISO/CSO, CRO und CPO sowie die Geschäftsbereichsleiter zu diesem Team gehören.
4. Überprüfen und ergänzen Sie Ihren Unternehmenskodex, um eine Kultur zu schaffen, in der die Datenschutzrichtlinien respektiert und eingehalten werden.
5. Überprüfen Sie die Sicherheitsrichtlinien des Unternehmens und stellen Sie sicher, dass sie den höchsten Standards entsprechen. Die Richtlinien müssen einen Krisenreaktionsplan, Vorgaben für die Meldung von Sicherheitsverletzungen, Disaster Recovery sowie einen Krisenkommunikationsplan umfassen.
6. Stellen Sie sicher, dass Datenschutz- und Sicherheitsrichtlinien für Zulieferer (inklusive der Cloud- und Software-as-a-Service-Provider) den unternehmenseigenen Sicherheitsvorgaben entsprechen. Dazu gehören auch ein jährlicher Audit und die Vorgabe von Mindestanforderungen an Kontrollen. Die Kommunikations- und Benachrichtigungsprozesse im Falle eines sicherheitsrelevanten Vorfalls oder eines Verstoßes gegen die Sicherheitsrichtlinien sollten besonders kritisch in Augenschein genommen werden.
7. Führen Sie ein jährliches Audit der unternehmenseigenen Sicherheitsrichtlinien durch, das vom Audit-Komitee geprüft wird.
8. Überprüfen Sie jährlich das unternehmenseigene Sicherheitsprogramm und die Effektivität der Kontrollen und stellen Sie sicher, dass erkannte Schwachstellen oder Lücken geschlossen werden. Dies sollte vom Risikokomitee auf Vorstandsebene überwacht werden.
9. Fordern Sie vom leitenden Management regelmäßige Berichte über Datenschutz- und Sicherheitsrisiken ein.
10. Überprüfen Sie auf Vorstandsebene einmal jährlich die Budgets für das Management des Datenschutzes und der Sicherheitsrisiken.
11. Führen sie ein jährliches Audit ein, um die Einhaltung der Datenschutzrichtlinien sicherzustellen. Überprüfen Sie außerdem den Krisenreaktionsplan, die Vorgaben für die Meldung von Sicherheitsverletzungen, Disaster Recovery sowie den Krisenkommunikationsplan.
12. Bewerten Sie die aktuellen Cyberbedrohungen und die möglicherweise daraus resultierenden Verluste; überprüfen Sie, ob Ihre Versicherungen alle IT-Risiken adäquat abdecken.
RSA Zitat: Tom Heiser, President, RSA
"Die zunehmende Wichtigkeit digitaler Ressourcen und die immer komplexeren Cyber-Risiken erfordern, dass Führungskräfte und Aufsichtsräte das IT-Sicherheitsmanagement besser in das Tagesgeschäft integrieren. Die Aufsichtsgremien fragen mittlerweile verstärkt nach der IT-Sicherheit, allerdings müssen jetzt auch Taten folgen. Nötig ist ein in sich geschlossenes System für das IT-Management, damit sich Unternehmen auf ihre kritische IT-Umgebung verlassen können."
Carnegie Mellon Zitat: Jody Westby, CEO of Global Risk & Adjunct Distinguished Fellow, Carnegie Mellon CyLab
"Es ist zwingend notwendig, dass Aufsichtsgremien und Führungskräfte geeignete Governance-Maßnahmen ergreifen, um die EDV-Systeme und Daten ihrer Unternehmen zu schützen. Dies erfordert Aufsicht, eine unabhängige, von Experten geleitete Cyber-Gefahrenanalyse, die Rekrutierung von Vorstandsmitgliedern mit Cyber-Risiko- und Governance-Know-how sowie die Überprüfung des Versicherungsschutzes gegen Cyber-Risiken."
Kurzprofil RSA:
RSA, The Security Division of EMC, ist ein führender Anbieter von Sicherheits-, Risiko- und Compliance-Management-Lösungen. Für die Kunden von RSA ist die Lösung ihrer komplexen sicherheitsspezifischen Herausforderungen ein kritischer Faktor für den Unternehmenserfolg. Zu den Herausforderungen zählen das Management organisatorischer Risiken, die Absicherung des Zugriffs auf unternehmensinterne Ressourcen, der Nachweis der Einhaltung von Sicherheitsanforderungen sowie der Schutz von virtuellen Infrastrukturen und Cloud-Umgebungen.
Mit Identitätsprüfung, Kryptographie, Schlüsselmanagement, Security Information und Event Management (SIEM), Data Loss Prevention und Betrugsbekämpfung bis hin zu Enterprise Governance, Risk & Compliance (eGRC) sowie umfassenden Beratungsleistungen sorgt RSA für Transparenz und Vertrauen in digitale Identitäten, Transaktionen und Daten von Millionen von Anwendern. www.RSA.com
Kurzprofil Carnegie Mellon CyLab:
Carnegie Mellon CyLab ist ein universitäres, multidisziplinäres Forschungs- und Ausbildungszentrum für Computer- und Netzwerksicherheit, Datensicherheit und Software Assurance. Das CyLab hat seinen Sitz am College of Engineering an der Carnegie Mellon University. Mehr Informationen finden sich unter www.cylab.cmu.edu.
Diese Pressemitteilungen könnten Sie auch interessieren
|
Protea Workshop: Web Gateway - Content Power von McAfee
, Sicherheit, Info-Point-Security GmbH
Inhalt des Workshops: Ohne Internet geht nichts, aber Cybercrime, Malware, neuartige Attacken, und Achtung: Malware, die auch von gut beleumundeten Seiten kommen...
|
Match & Meet: NovaStor bietet Backup- und Storage-Händlern eine neue Plattform zum Wissens- und Erfahrungsaustausch
Die Auftaktveranstaltungen zu NovaStors neuer Match & Meet Veranstaltungsserie finden am 03. Juni 2013 in Frankfurt am Main und Heidelberg sowie am 05. Juni 2013...
|
Neueste Informationen zur Bekämpfung von Produktfälschungen
, Sicherheit, Hewlett-Packard Deutschland GmbH
. - Erhalten Sie das neueste Update zum Thema Bekämpfung von Produktfälschungen Gefälschte Druckverbrauchsmaterialien sind eine ernste Bedrohung für Unternehmen...
