08.10.2007 eSecurity Der Mensch: Die Lösung für steigende Internet-GefahrenDie Informationssicherheit ist gerade für Unternehmen der Finanzindustrie existenziell. Galt bislang die Informationstechnologie als primärer Risikofaktor, so rückt zunehmend der Mensch in den Fokus. Wie die weltweit angelegte "Global Security-Studie" von Deloitte zum Sicherheitsstatus in der internationalen Finanzindustrie ergab, steht für knapp die Hälfte der Befragten aktuell das Risikobewusstsein der Mitarbeiter im Vordergrund. Deutlich sichtbar wurde aber eine Lücke zwischen dem vorhandenen Problembewusstsein der einzelnen Geschäftsbereiche und einer entsprechenden Unternehmensstrategie: Ein Drittel der Befragten verfügt über keine umfassende Sicherheitsstrategie, lediglich zehn Prozent haben die Zuständigkeiten in den Geschäftsbereichen verankert. "Die deutschen wie auch die internationalen Finanzinstitute haben eine hohe technische und organisatorische Professionalität in der IT-Sicherheit erreicht, allerdings zeigt die Studie auch, dass die Investitionsbereitschaft sehr unterschiedlich ist. Von den Unternehmen, die diese Kennziffer ermitteln, geben 7% mehr als 1.000 US$ pro Mitarbeiter für IT-Sicherheit aus, während 11% es bei weniger als 100 US$ belassen.", erklärt Sven Hesselbach, Partner im Bereich ERS von Deloitte. An der Studie beteiligten sich zahlreiche internationale Top-Finanzinstitute, -Banken sowie -Versicherungen. Untersucht wurde vor allem deren Performance in den Bereichen Governance, Investment, Risikomanagement, Sicherheitstechnologie, Qualitätssicherung sowie Datenschutz. Gegenüber den Vorjahren siedelten die Befragten mehrheitlich erstmals diese Themengebiete inhaltlich bei der Geschäftsleitung an. 81 Prozent haben hierfür bereits eine konkrete Information-Security-Governance-Struktur definiert, weitere 18 Prozent entwickeln eine solche. Insgesamt 84 Prozent der Unternehmen verfügen über einen Chief Information Security Officer (CISO). Investitionen vor allem im Bereich Mitarbeiterschulungen Auch die Ausgaben im Bereich Informationssicherheit steigen stetig: 98 Prozent der Befragten haben die entsprechenden Budgets seit dem letzten Jahr erhöht. Aktuell sollen Identitätsmanagement, Compliance sowie Disaster Recovery und Business Continuity gefördert werden. Nachdem jedoch in den letzten Jahren die Investitionen in technische Lösungen immer im Vordergrund standen, wollen jetzt fast die Hälfte aller befragten Finanzinstitute sehr stark Trainings- und Ausbildungsprogramme forcieren. Insbesondere beim Risikomanagement werden von Finanzinstituten ein besonderes Bewusstsein auf allen Unternehmensebenen und eine besondere Effizienz erwartet. Fast drei Viertel der Unternehmen haben hierzu unterschiedliche Risikolevels klassifiziert, 55 Prozent glauben, dass ihre existierenden Sicherheitsrichtlinien wirksam und praxisgerecht sind. Um die Qualität von Dienstleistungen, Prozessen und Produkten unternehmensübergreifend zu gewährleisten, haben 81 Prozent der Studienteilnehmer die Zuständigkeiten der Mitarbeiter im Bereich Informationssicherheit klar definiert - allerdings messen nur 50 Prozent die Wirksamkeit dieser Vorgehensweise im Rahmen von Mitarbeiterbeurteilungen. "In einem Umfeld zunehmender Outsourcing-Aktivitäten ist es beachtlich, dass annähernd 30% der befragten Institutionen bei Vertragsabschlüssen mit Dienstleistern keine Klauseln zur Informationssicherheit aufnehmen und nur 22% unabhängige Sicherheitsaudits bei ihren Dienstleistern durchführen lassen", betont Sven Hesselbach von Deloitte. Ein weiteres herausragendes Thema ist der Datenschutz. Nicht zuletzt durch eine steigende Anzahl von bekannt gewordenen Vorfällen des Datenmissbrauchs ist der Datenschutz mittlerweile zu einem festen Bestandteil des Sicherheitsmanagements geworden. Etwa 70 Prozent der befragten Unternehmen verfügen über Programme zur Sicherstellung der Datenschutz-Compliance, wobei 66% einen verantwortlichen Manager für den Datenschutz benannt haben. Anders als in Deutschland sind diese häufig im Bereich der IT-Organisation angesiedelt. Lücke zwischen Anspruch und Wirklichkeit Die Mehrheit der befragten Unternehmen aus dem Finanzsektor ist sich der Gefahrenlage durchaus bewusst. "Wir haben jedoch festgestellt, dass immer noch eine deutliche Lücke zwischen Anspruch und Wirklichkeit existiert", kommentiert Sven Hesselbach. "Trotz eines vorhandenen Bewusstseins auf der Managementebene und einer Vielzahl von Einzelmaßnahmen fehlt es an operativer Übernahme der Verantwortung. Zu viele Geschäftsbereichsleiter halten die Informationssicherheit immer noch für eine Angelegenheit der IT-Abteilung und sehen sich nicht selbst in der Pflicht." Die komplette Studie zum Download |
|
Zu den aktuellsten Nachrichten
