Die Global Information Security Workforce Study 2013 von (ISC)² beleuchtet paradoxe Herausforderungen im Hinblick auf Anwendungsschwachstellen, mobile Geräte und den Mangel an qualifiziertem Personal, denen sich Führungskräfte im IT-Sicherheitsbereich stellen müssen. [...]
(ISC)² („ISC-squared“), gemeinnütziger Fachverband für Informationssicherheit und Administrator des CISSP-Programms, hat die Ergebnisse einer Umfrage veröffentlicht, die sich mit den wichtigsten Herausforderungen von Führungskräften im IT-Sicherheitsbereich beschäftigt. Sie sind mit einem breiten Spektrum an komplexen – und teilweise miteinander konkurrierenden – Problemen konfrontiert:
- Schwachstellen in Anwendungen wurden zwar als größte Bedrohung für die Sicherheit von Unternehmensdaten bewertet (72 Prozent der befragten Führungskräfte stuften sie als größtes Problem ein). Dennoch erklärten viele Führungskräfte, dass es aufgrund der Anforderungen ihres Unternehmens schwierig sei, sichere Entwicklungsprozesse für Anwendungen zu entwerfen und zu implementieren.
- In ähnlicher Weise stuften 70 Prozent der Führungskräfte Mobilgeräte als erhebliche Bedrohung für ihre Unternehmen ein; trotzdem gab ein Großteil an, keine Sicherheitsrichtlinien und -programme für mobile Geräte erfolgreich implementiert zu haben.
- Die meisten führenden Sicherheitsverantwortlichen (77 Prozent bei Behörden und 63 Prozent in der Privatwirtschaft) glauben, dass sie zu wenig IT-Sicherheitspersonal haben; gleichzeitig verwiesen jedoch 61 Prozent auf die geschäftlichen Gegebenheiten als Hindernis für Personalaufstockungen.
- Trotz der geäußerten Besorgnis über einen Mangel an geschultem Personal planen nur 35 Prozent der Sicherheitsverantwortlichen, in den nächsten Jahren ihre Ausgaben für die Personalausstattung zu erhöhen, während 39 Prozent die Ausgaben für Technologien erhöhen wollen.
„Im Spannungsfeld zwischen den ständig neuen Bedrohungen und den geschäftlichen Zwängen lassen sich Führungskräfte im IT-Sicherheitsbereich anscheinend von den zentralen Sicherheitsproblemen abbringen“, konstatiert John Colley, Managing Director, (ISC)² EMEA. „So erkennen sie etwa durchaus, dass Schwachstellen in Anwendungen die Bedrohung Nummer Eins sind, sehen sich aber trotzdem außerstande, ihre Zeit, Aufmerksamkeit und ihre offensichtlichen Führungsqualitäten auf diesem Gebiet einzusetzen, um Abhilfe zu schaffen. Die Sicherheitsverantwortlichen müssen unbedingt eine strategische Sichtweise einnehmen und die Probleme aus einer ganzheitlichen Perspektive betrachten, um effektive Lösungen für Bedrohungen zu finden, die sich laufend verändern.“
Rainer Rehm, Präsident des (ISC)² Chapter Germany e.V. meint dazu, „Die Nachfrage nach Sicherheitsverantwortlichen – ohne Rücksicht auf deren offizielle Rollenbeschreibungen – wächst von Jahr zu Jahr gewaltig. Wie in dem Kommentar von Frost&Sullivan beschrieben, war die Komplexität und die Abhängigkeit von sensiblen Informationen niemals höher. Die meisten ISO/CISO müssen sich mit einer wachsenden Bedrohungslandschaft (z.B. BYOD, xaas, Big Data) und den Anforderungen an entsprechende interne und externe Berichte auseinandersetzen. Die einzige Chance dieser Zwickmühle zu entkommen, ist, die benötigten Prozesse zu formalisieren und zu automatisieren. Damit diese Anforderungen erfüllt werden, sind wesentlich mehr erfahrene und trainierte Experten nötig. Es gibt sie jedoch nicht und sie sind noch schwieriger zu rekrutieren. Viele CISO’s wissen, dass sie eine erfahrene Sicherheitsabteilung brauchen und investieren deshalb in Trainings und viele Experten verfolgen das Ziel des lebenslangen Lernens und bauen das eigene Wissen aus. Organisationen wie die (ISC)² sind sehr gut dafür geeignet, diese Nachfrage nach Training und Weiterbildung abzudecken.“
Wie die erhobenen Daten demonstrieren, sind führende Sicherheitsverantwortliche mit einer Fülle kritischer Sicherheitsentscheidungen konfrontiert, die zudem teilweise miteinander kollidieren. Ein Beispiel: Als zwei der größten Probleme im Zusammenhang mit der Cybersicherheit nannten die CXOs potenzielle Rufschädigungen für ihr Unternehmen (83 Prozent) sowie IT-Service-Ausfallzeiten (74 Prozent). Auf die Frage, wofür sie ihre Zeit aufwenden, lauteten die häufigsten Antworten jedoch Governance, Risk & Compliance (GRC, 74 Prozent) sowie Sicherheitsmanagement (74 Prozent). Dies deutet darauf hin, dass administrative Aufgaben und Prioritäten die Tagesordnung dominieren.
„Führungskräfte im Bereich IT-Sicherheit stehen vor einem Dilemma“, sagt Michael Suby, Stratecast VP of Research bei Frost & Sullivan und Autor der Studie. „Die Daten werden immer zahlreicher und fluider, doch gleichzeitig ist ihr Schutz wichtiger denn je. Zudem sind die raffinierten Angreifer von heute immer besser in der Lage, ihre Exploits zu verstecken. Die größte Bedrohung für die Sicherheit eines Unternehmens ist somit genau das, was es nicht weiß oder nicht finden kann.“
„Wie diese Studie zeigt, sind führende Sicherheitsverantwortliche mit einer Vielzahl von Herausforderungen konfrontiert, die sich nicht mit einer einzigen Methode oder einem einzigen Lösungspaket überwinden lassen“, resümiert William Stewart, Senior Vice President bei Booz Allen Hamilton. „Eines der größten Hindernisse für die Sicherheitsteams ist der Konflikt zwischen den geschäftlichen Prioritäten und den rapiden Veränderungen der Bedrohungslandschaft. Daher meinen wir, dass die CXOs ihre Denkweise ändern und lernen müssen, beim Schutz ihres Unternehmens anpassungsfähiger und flexibler zu werden.“
Die Studie „A View From the Top – The (ISC)² Global Information Security Workforce Study CXO Report“, stützt sich auf die Aussagen von 1.634 C-Level-Führungskräften aus Unternehmen auf der ganzen Welt. Die verwendeten Daten entstammen der sechsten, von Frost & Sullivan durchgeführten Global Information Security Workforce Study (GISWS), die (ISC)² in Partnerschaft mit Booz Allen Hamilton initiiert hat. (pi)
Be the first to comment