Paradoxe Herausforderungen für CSO

Die Global Information Security Workforce Study 2013 von (ISC)² beleuchtet paradoxe Herausforderungen im Hinblick auf Anwendungsschwachstellen, mobile Geräte und den Mangel an qualifiziertem Personal, denen sich Führungskräfte im IT-Sicherheitsbereich stellen müssen. [...]

(ISC)² („ISC-squared“), gemeinnütziger Fachverband für Informationssicherheit und Administrator des CISSP-Programms, hat die Ergebnisse einer Umfrage veröffentlicht, die sich mit den wichtigsten Herausforderungen von Führungskräften im IT-Sicherheitsbereich beschäftigt. Sie sind mit einem breiten Spektrum an komplexen – und teilweise miteinander konkurrierenden – Problemen konfrontiert:

  • Schwachstellen in Anwendungen wurden zwar als größte Bedrohung für die Sicherheit von Unternehmensdaten bewertet (72 Prozent der befragten Führungskräfte stuften sie als größtes Problem ein). Dennoch erklärten viele Führungskräfte, dass es aufgrund der Anforderungen ihres Unternehmens schwierig sei, sichere Entwicklungsprozesse für Anwendungen zu entwerfen und zu implementieren.
  • In ähnlicher Weise stuften 70 Prozent der Führungskräfte Mobilgeräte als erhebliche Bedrohung für ihre Unternehmen ein; trotzdem gab ein Großteil an, keine Sicherheitsrichtlinien und -programme für mobile Geräte erfolgreich implementiert zu haben.
  • Die meisten führenden Sicherheitsverantwortlichen (77 Prozent bei Behörden und 63 Prozent in der Privatwirtschaft) glauben, dass sie zu wenig IT-Sicherheitspersonal haben; gleichzeitig verwiesen jedoch 61 Prozent auf die geschäftlichen Gegebenheiten als Hindernis für Personalaufstockungen.
  • Trotz der geäußerten Besorgnis über einen Mangel an geschultem Personal planen nur 35 Prozent der Sicherheitsverantwortlichen, in den nächsten Jahren ihre Ausgaben für die Personalausstattung zu erhöhen, während 39 Prozent die Ausgaben für Technologien erhöhen wollen.

„Im Spannungsfeld zwischen den ständig neuen Bedrohungen und den geschäftlichen Zwängen lassen sich Führungskräfte im IT-Sicherheitsbereich anscheinend von den zentralen Sicherheitsproblemen abbringen“, konstatiert John Colley, Managing Director, (ISC)² EMEA. „So erkennen sie etwa durchaus, dass Schwachstellen in Anwendungen die Bedrohung Nummer Eins sind, sehen sich aber trotzdem außerstande, ihre Zeit, Aufmerksamkeit und ihre offensichtlichen Führungsqualitäten auf diesem Gebiet einzusetzen, um Abhilfe zu schaffen. Die Sicherheitsverantwortlichen müssen unbedingt eine strategische Sichtweise einnehmen und die Probleme aus einer ganzheitlichen Perspektive betrachten, um effektive Lösungen für Bedrohungen zu finden, die sich laufend verändern.“

Rainer Rehm, Präsident des (ISC)² Chapter Germany e.V. meint dazu, „Die Nachfrage nach Sicherheitsverantwortlichen – ohne Rücksicht auf deren offizielle Rollenbeschreibungen – wächst von Jahr zu Jahr gewaltig. Wie in dem Kommentar von Frost&Sullivan beschrieben, war die Komplexität und die Abhängigkeit von sensiblen Informationen niemals höher. Die meisten ISO/CISO müssen sich mit einer wachsenden Bedrohungslandschaft (z.B. BYOD, xaas, Big Data) und den Anforderungen an entsprechende interne und externe Berichte auseinandersetzen. Die einzige Chance dieser Zwickmühle zu entkommen, ist, die benötigten Prozesse zu formalisieren und zu automatisieren. Damit diese Anforderungen erfüllt werden, sind wesentlich mehr erfahrene und trainierte Experten nötig. Es gibt sie jedoch nicht und sie sind noch schwieriger zu rekrutieren. Viele CISO’s wissen, dass sie eine erfahrene Sicherheitsabteilung brauchen und investieren deshalb in Trainings und viele Experten verfolgen das Ziel des lebenslangen Lernens und bauen das eigene Wissen aus. Organisationen wie die (ISC)² sind sehr gut dafür geeignet, diese Nachfrage nach Training und Weiterbildung abzudecken.“

Wie die erhobenen Daten demonstrieren, sind führende Sicherheitsverantwortliche mit einer Fülle kritischer Sicherheitsentscheidungen konfrontiert, die zudem teilweise miteinander kollidieren. Ein Beispiel: Als zwei der größten Probleme im Zusammenhang mit der Cybersicherheit nannten die CXOs potenzielle Rufschädigungen für ihr Unternehmen (83 Prozent) sowie IT-Service-Ausfallzeiten (74 Prozent). Auf die Frage, wofür sie ihre Zeit aufwenden, lauteten die häufigsten Antworten jedoch Governance, Risk & Compliance (GRC, 74 Prozent) sowie Sicherheitsmanagement (74 Prozent). Dies deutet darauf hin, dass administrative Aufgaben und Prioritäten die Tagesordnung dominieren.

„Führungskräfte im Bereich IT-Sicherheit stehen vor einem Dilemma“, sagt Michael Suby, Stratecast VP of Research bei Frost & Sullivan und Autor der Studie. „Die Daten werden immer zahlreicher und fluider, doch gleichzeitig ist ihr Schutz wichtiger denn je. Zudem sind die raffinierten Angreifer von heute immer besser in der Lage, ihre Exploits zu verstecken. Die größte Bedrohung für die Sicherheit eines Unternehmens ist somit genau das, was es nicht weiß oder nicht finden kann.“

„Wie diese Studie zeigt, sind führende Sicherheitsverantwortliche mit einer Vielzahl von Herausforderungen konfrontiert, die sich nicht mit einer einzigen Methode oder einem einzigen Lösungspaket überwinden lassen“, resümiert William Stewart, Senior Vice President bei Booz Allen Hamilton. „Eines der größten Hindernisse für die Sicherheitsteams ist der Konflikt zwischen den geschäftlichen Prioritäten und den rapiden Veränderungen der Bedrohungslandschaft. Daher meinen wir, dass die CXOs ihre Denkweise ändern und lernen müssen, beim Schutz ihres Unternehmens anpassungsfähiger und flexibler zu werden.“

Die Studie „A View From the Top – The (ISC)² Global Information Security Workforce Study CXO Report“, stützt sich auf die Aussagen von 1.634 C-Level-Führungskräften aus Unternehmen auf der ganzen Welt. Die verwendeten Daten entstammen der sechsten, von Frost & Sullivan durchgeführten Global Information Security Workforce Study (GISWS), die (ISC)² in Partnerschaft mit Booz Allen Hamilton initiiert hat. (pi)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*