Eine neue IBM (NYSE: IBM) Studie zeigt eine klare Entwicklung in der Organisation von Informationssicherheit und deren Verantwortlichen: Über ein Viertel der befragten Sicherheitschefs haben zunehmend eine strategische Leadership-Rolle, die sich vom technischen Fokus mehr und mehr entfernt.
In einer ersten Studie von IBM über Senior-Manager im Bereiche Sicerheit befragte das IBM Center for Applied Insights mehr als 130 Sicherheitschefs weltweit und identifizierte drei Führungskräfte-Typen: Etwa ein Viertel der Befragten waren "Influencer" unter den Senior Security Managern, die in der Regel Geschäftsstrategien ihrer Firmen beeinflussten. Diese haben mehr Selbstvertrauen und sind besser vorbereitet als ihre Fachkollegen - die "Protectors" und "Responders".
Insgesamt stehen alle Sicherheitsverantwortlichen heute unter enormem Druck. Sie sind mit dem Schutz einiger der wertvollsten Vermögenswerte ihrer Firma betraut - Geld, Kundendaten, geistiges Eigentum und Marken. Fast zwei Drittel der befragten Chief Information Security Executives (CISOs) sagen, daß ihre Führungskräfte dem Thema Sicherheit heute mehr Aufmerksamkeit schenken als vor zwei Jahren, beeinflußt durch eine Reihe von öffentlichkeitswirksamen Hacking-Angriffen und Datendiebstählen, so dass in der Folge das Thema Scherheit eine Schlüsselrolle in einem modernen Unternehmen spielt. Mehr als die Hälfte der Befragten gaben Mobile Security als primäres technologisches Aufgabenfeld der nächsten zwei Jahre an. Fast zwei Drittel der Befragten erwarten eine Zunahme von Informationssicherheitsausgeben während der nächsten zwei Jahre und davon erwarten 87 Prozent sogar zweistellige Zuwächse.
Anstatt nur auf sicherheitsrelevante Ereignisse zu reagieren, wird die Rolle des CISO sich mehr in Richtung intelligentes und ganzheitliches Risiko-Management verschieben - von der "Brandbekämpfung" hin zur Antizipation und Vermeidung von Problemen, bevor diese eintreten. Mehrere Merkmale traten als bemerkenswerte Eigenschaften der fortgeschrittenen Sicherheitspraktiken von "Influencern" verschiedener Organisationen hervor:
- Sicherheit ist ein Top-Unternehmensthema (und nicht nur ein Technologiethema): Eines der wichtigsten Attribute einer im Thema Sicherheit führenden Organisation, ist die Aufmerksamkeit von Geschäftsführern hinsichtlich des Themas. Sicherheit ist kein Ad-hoc-Thema, sondern ein fester Bestandteil der geschäftlichen Tätigkeit und zunehmend auch der Kultur. 60 Prozent der fortschrittlichen Unternehmen nannten Sicherheit als regelmäßiges Geschäftsführungssitzungsthema, verglichen mit nur 22 Prozent der am wenigsten fortgeschrittenen Organisationen. Diese Vordenker verstehen die Notwendigkeit, Risikobewusstsein allgegenwärtig zu machen - und konzentrieren sich auf unternehmensweite Sensibilisierung, Ausbildung, Zusammenarbeit und Kommunikation in Sachen Sicherheit. Zukunftsorientierte Sicherheitsorganisationen implementieren daher wahrscheinlicher eine Lenkungsgruppe für Sicherheit, um systemische Ansätze für Sicherheitsprobleme zu fördern, die Rechtliches, operative Geschäfte, Finanzen und Personalthemen umfassen. Achtundsechzig Prozent der fortschrittlichen Organisationen hatten ein Risk Committee, gegenüber nur 26 Prozent in der am wenigsten im Thema Sicherheit entwickelten Gruppe.
- Verwendung von datenbasierter Entscheidungsfindung und -messung: Führende Organisationen verwenden mit doppelt so hoher Wahrscheinlichkeit Metriken, um Fortschritte zu überwachen, zeigte die Beurteilung (59 Prozent gegenüber 26 Prozent). Die Messung der Sensibilisierung der Nutzer, der Mitarbeiterausbildung, der Fähigkeit, zukünftigen Bedrohungen zu begegnen und der Integration neuer Technologien kann dazu beitragen, eine risikobewusstere Kultur zu schaffen. Automatisierte Überwachung von standardisierten Metriken ermöglicht CISOs zudem, mehr Zeit zur Konzentration auf breitere, systemischere Risiken zu verwenden.
- Geteilte Budgetverantwortung mit der C-Suite: Die Bewertung hat gezeigt, dass in den meisten Organisationen CIOs normalerweise das Information Security Budget verantworten. Jedoch liegt in weitentwickelten Organisationen die Investitionshoheit öftner bei den Geschäftsführern. In den am weitesten fortgeschrittenen Organisationen steuerten CEOs ebenso oft wie CIOs das Information Security Budget. In weniger weit entwickelten Organisationen fehlte oft ein dedizierter Budgetplan, was auf einen eher taktischen, fragmentierten Ansatz für die Sicherheit andeutet. Einundsiebzig Prozent der fortschrittlichen Organisationen hatten einen dedizierten Posten für das Security Budget im Vergleich zu 27 Prozent der am wenigsten fortschrittlichen Gruppe.
"Diese Daten zeichneten ein Profil einer neuen Klasse von CISO-Führungskräften, die eine strategische Stimme entwickeln und den Weg zu eineraktiveren und integrierteren Haltung zur Informationssicherheit ebnen", sagt David Jarvis, Autor des Berichts und Senior Consultant beim IBM Center for Applied Insights. "Wir sehen, dass sich der CISO nun in einem ähnlichen Muster entwickelt wie der CFO der 1970er Jahre und der CIO aus den 1980er Jahren - von einem technisch geprägten Entscheider hin zu einem strategischen Business-Enabler. Dies zeigt, wie wesentlich IT-Sicherheit für Unternehmen geworden ist. "
Empfehlungen zur Entwicklung der Sicherheitsrolle in einem Unternehmen
Um eine selbstbewusstere und leistungsfähigere Sicherheitsorganisation zu schaffen, glaubt IBM, dass Sicherheitsverantwortliche einen Aktionsplan auf Basis ihrer aktuellen Möglichkeiten und dringendsten Bedürfnisse zusammenstellen müssen. Der jetzt vorliegende IBM Bericht ermöglicht eine individuellere Sicherheitsberatung durch seine Ergebnisse, wie Organisationen auf der Grundlage ihrer jeweils aktuellen Sicherheits-Reifegrade nächste Schritte planen können.
Zum Beispiel können die Antwortenden im frühesten Stadium einer Security-Entwicklung über ihre bisherige taktische Ausrichtung durch die Einrichtung einer dedizierten Sicherheitsführungsrolle (wie CISO) hinausgehen und ein Security und Risiko-Kommittee zusammenstellen, das Fortschritte misst. Darüber hinaus geht es um die Automatisierung von routinemäßigen Sicherheitsprozessen, um mehr Zeit und Ressourcen für Sicherheitsinnovationen einsetzen zu könnnen.
"Sicherheit in einem Zeitalter der Hyper-Konnektivität bringt eine Reihe neuer Herausforderungen, aber diese können sehr durch die Umsetzung innovativer Verfahren und die Annahme eines stärker integrierten, ganzheitlichen Ansatzes erleichtert werden", sagt Marc van Zadelhoff, Mitautor des Berichts und Vice President Strategy , IBM Security Systems. "CISOs, die diese Faktoren priorisieren, können ihren Organisationen helfen, Geschäftsprozesse wesentlich zu verbessern und messbare Erfolge in ihrem Fortschritt in Richtung des Aufbaus einer risikobewussten Kultur zu erzielen, die agil und gut ausgestattet ist, um mit zukünftigen Bedrohungen umzugehen."
Über die Bewertung
Die Studie des IBM Center for Applied Insights "Finding a strategic voice: Insights from the 2012 IBM Chief Information Security Officer Assessmen," schloss Organisationen ein, die ein breites Spektrum von Branchen und sieben Länder umfasste. Im ersten Quartal 2012 führte das Zentrum Doppelblind-Interviews mit 138 Senior Business- und IT-Führungskräften durch, die für die Informationssicherheit in ihrem Unternehmen verantwortlich sind. Fast 20 Prozent der Befragten führen Informationssicherheit in Unternehmen mit mehr als 10.000 Mitarbeitern, 55 Prozent sind in Unternehmen mit 1.000 bis 9.999 Mitarbeitern. Die vollständige Studie ist zu finden unter ibm.com/smarter/cai/security.
In einer ersten Studie von IBM über Senior-Manager im Bereiche Sicerheit befragte das IBM Center for Applied Insights mehr als 130 Sicherheitschefs weltweit und identifizierte drei Führungskräfte-Typen: Etwa ein Viertel der Befragten waren "Influencer" unter den Senior Security Managern, die in der Regel Geschäftsstrategien ihrer Firmen beeinflussten. Diese haben mehr Selbstvertrauen und sind besser vorbereitet als ihre Fachkollegen - die "Protectors" und "Responders".
Insgesamt stehen alle Sicherheitsverantwortlichen heute unter enormem Druck. Sie sind mit dem Schutz einiger der wertvollsten Vermögenswerte ihrer Firma betraut - Geld, Kundendaten, geistiges Eigentum und Marken. Fast zwei Drittel der befragten Chief Information Security Executives (CISOs) sagen, daß ihre Führungskräfte dem Thema Sicherheit heute mehr Aufmerksamkeit schenken als vor zwei Jahren, beeinflußt durch eine Reihe von öffentlichkeitswirksamen Hacking-Angriffen und Datendiebstählen, so dass in der Folge das Thema Scherheit eine Schlüsselrolle in einem modernen Unternehmen spielt. Mehr als die Hälfte der Befragten gaben Mobile Security als primäres technologisches Aufgabenfeld der nächsten zwei Jahre an. Fast zwei Drittel der Befragten erwarten eine Zunahme von Informationssicherheitsausgeben während der nächsten zwei Jahre und davon erwarten 87 Prozent sogar zweistellige Zuwächse.
Anstatt nur auf sicherheitsrelevante Ereignisse zu reagieren, wird die Rolle des CISO sich mehr in Richtung intelligentes und ganzheitliches Risiko-Management verschieben - von der "Brandbekämpfung" hin zur Antizipation und Vermeidung von Problemen, bevor diese eintreten. Mehrere Merkmale traten als bemerkenswerte Eigenschaften der fortgeschrittenen Sicherheitspraktiken von "Influencern" verschiedener Organisationen hervor:
- Sicherheit ist ein Top-Unternehmensthema (und nicht nur ein Technologiethema): Eines der wichtigsten Attribute einer im Thema Sicherheit führenden Organisation, ist die Aufmerksamkeit von Geschäftsführern hinsichtlich des Themas. Sicherheit ist kein Ad-hoc-Thema, sondern ein fester Bestandteil der geschäftlichen Tätigkeit und zunehmend auch der Kultur. 60 Prozent der fortschrittlichen Unternehmen nannten Sicherheit als regelmäßiges Geschäftsführungssitzungsthema, verglichen mit nur 22 Prozent der am wenigsten fortgeschrittenen Organisationen. Diese Vordenker verstehen die Notwendigkeit, Risikobewusstsein allgegenwärtig zu machen - und konzentrieren sich auf unternehmensweite Sensibilisierung, Ausbildung, Zusammenarbeit und Kommunikation in Sachen Sicherheit. Zukunftsorientierte Sicherheitsorganisationen implementieren daher wahrscheinlicher eine Lenkungsgruppe für Sicherheit, um systemische Ansätze für Sicherheitsprobleme zu fördern, die Rechtliches, operative Geschäfte, Finanzen und Personalthemen umfassen. Achtundsechzig Prozent der fortschrittlichen Organisationen hatten ein Risk Committee, gegenüber nur 26 Prozent in der am wenigsten im Thema Sicherheit entwickelten Gruppe.
- Verwendung von datenbasierter Entscheidungsfindung und -messung: Führende Organisationen verwenden mit doppelt so hoher Wahrscheinlichkeit Metriken, um Fortschritte zu überwachen, zeigte die Beurteilung (59 Prozent gegenüber 26 Prozent). Die Messung der Sensibilisierung der Nutzer, der Mitarbeiterausbildung, der Fähigkeit, zukünftigen Bedrohungen zu begegnen und der Integration neuer Technologien kann dazu beitragen, eine risikobewusstere Kultur zu schaffen. Automatisierte Überwachung von standardisierten Metriken ermöglicht CISOs zudem, mehr Zeit zur Konzentration auf breitere, systemischere Risiken zu verwenden.
- Geteilte Budgetverantwortung mit der C-Suite: Die Bewertung hat gezeigt, dass in den meisten Organisationen CIOs normalerweise das Information Security Budget verantworten. Jedoch liegt in weitentwickelten Organisationen die Investitionshoheit öftner bei den Geschäftsführern. In den am weitesten fortgeschrittenen Organisationen steuerten CEOs ebenso oft wie CIOs das Information Security Budget. In weniger weit entwickelten Organisationen fehlte oft ein dedizierter Budgetplan, was auf einen eher taktischen, fragmentierten Ansatz für die Sicherheit andeutet. Einundsiebzig Prozent der fortschrittlichen Organisationen hatten einen dedizierten Posten für das Security Budget im Vergleich zu 27 Prozent der am wenigsten fortschrittlichen Gruppe.
"Diese Daten zeichneten ein Profil einer neuen Klasse von CISO-Führungskräften, die eine strategische Stimme entwickeln und den Weg zu eineraktiveren und integrierteren Haltung zur Informationssicherheit ebnen", sagt David Jarvis, Autor des Berichts und Senior Consultant beim IBM Center for Applied Insights. "Wir sehen, dass sich der CISO nun in einem ähnlichen Muster entwickelt wie der CFO der 1970er Jahre und der CIO aus den 1980er Jahren - von einem technisch geprägten Entscheider hin zu einem strategischen Business-Enabler. Dies zeigt, wie wesentlich IT-Sicherheit für Unternehmen geworden ist. "
Empfehlungen zur Entwicklung der Sicherheitsrolle in einem Unternehmen
Um eine selbstbewusstere und leistungsfähigere Sicherheitsorganisation zu schaffen, glaubt IBM, dass Sicherheitsverantwortliche einen Aktionsplan auf Basis ihrer aktuellen Möglichkeiten und dringendsten Bedürfnisse zusammenstellen müssen. Der jetzt vorliegende IBM Bericht ermöglicht eine individuellere Sicherheitsberatung durch seine Ergebnisse, wie Organisationen auf der Grundlage ihrer jeweils aktuellen Sicherheits-Reifegrade nächste Schritte planen können.
Zum Beispiel können die Antwortenden im frühesten Stadium einer Security-Entwicklung über ihre bisherige taktische Ausrichtung durch die Einrichtung einer dedizierten Sicherheitsführungsrolle (wie CISO) hinausgehen und ein Security und Risiko-Kommittee zusammenstellen, das Fortschritte misst. Darüber hinaus geht es um die Automatisierung von routinemäßigen Sicherheitsprozessen, um mehr Zeit und Ressourcen für Sicherheitsinnovationen einsetzen zu könnnen.
"Sicherheit in einem Zeitalter der Hyper-Konnektivität bringt eine Reihe neuer Herausforderungen, aber diese können sehr durch die Umsetzung innovativer Verfahren und die Annahme eines stärker integrierten, ganzheitlichen Ansatzes erleichtert werden", sagt Marc van Zadelhoff, Mitautor des Berichts und Vice President Strategy , IBM Security Systems. "CISOs, die diese Faktoren priorisieren, können ihren Organisationen helfen, Geschäftsprozesse wesentlich zu verbessern und messbare Erfolge in ihrem Fortschritt in Richtung des Aufbaus einer risikobewussten Kultur zu erzielen, die agil und gut ausgestattet ist, um mit zukünftigen Bedrohungen umzugehen."
Über die Bewertung
Die Studie des IBM Center for Applied Insights "Finding a strategic voice: Insights from the 2012 IBM Chief Information Security Officer Assessmen," schloss Organisationen ein, die ein breites Spektrum von Branchen und sieben Länder umfasste. Im ersten Quartal 2012 führte das Zentrum Doppelblind-Interviews mit 138 Senior Business- und IT-Führungskräften durch, die für die Informationssicherheit in ihrem Unternehmen verantwortlich sind. Fast 20 Prozent der Befragten führen Informationssicherheit in Unternehmen mit mehr als 10.000 Mitarbeitern, 55 Prozent sind in Unternehmen mit 1.000 bis 9.999 Mitarbeitern. Die vollständige Studie ist zu finden unter ibm.com/smarter/cai/security.
