Zürich – Die neueste Governance-Studie des Carnegie Mellon CyLab kommt zu dem Ergebnis, dass Führungskräfte und Vorstände die Abwehr von Cyber-Gefahren immer noch nicht mit der nötigen Aufmerksamkeit behandeln. Die Studie, die von RSA, der Security Division von EMC, gesponsert wurde, ist die dritte aus einer Reihe von Umfragen, die in den Jahren 2008 und 2010 von CyLab Adjunct Distinguished Fellow, Jody Westby, durchgeführt wurden. Sie zeigt, dass die Governance-Defizite in den letzten Jahren nicht beseitigt wurden.
Befragt wurden Top-Führungskräfte aus Unternehmen der Forbes Global 2000 Liste. Es ist die erste Studie, die untersucht wie führende Unternehmen weltweit bei der Cyber-Governance aufgestellt sind. Eines der wichtigsten Ergebnisse ist, dass Führungskräfte und Vorstände die Aufsicht vernachlässigen, weil sie zum Beispiel keine Richtlinien zum Schutz vor Cyber-Angriffen und zur Begrenzung der daraus resultierenden finanziellen Verluste auf höchster Ebene festlegen und die Budgetrahmen für den Datenschutz und die Sicherheit nicht regelmässig überprüfen. Obwohl durchaus Verbesserungen bei der Erfüllung der üblichen Governance-Aufgaben zu beobachten sind, glauben weniger als ein Drittel der Befragten, dass ihre Führungskräfte und Vorstände die grundlegenden Aufgaben der Cyber-Governance erfüllen.
Versicherungsabdeckung gegen Cybergefahren überprüfen
Verbesserungen zeigen sich zum Beispiel in der Formierung von Risiko-Komitees auf Vorstandsebene und organisationsübergreifenden Teams. Allerdings gab fast die Hälfte aller Befragten an, dass sie keine Vollzeit-Positionen für Datenschutz und Sicherheit haben. 58 Prozent der Befragten sind der Meinung, dass ihre Aufsichtsgremien die Versicherungsabdeckung gegen Cybergefahren nicht überprüfen.
Empfehlungen
Zur Verbesserung der Corporate Governance in Bezug auf Datenschutz und Sicherheit gibt die Studie eine Reihe von Empfehlungen:
- Festlegung von Richtlinien für Datenschutz und Sicherheit auf Führungsebene
- Überprüfung von Rollen und Verantwortlichkeiten für Datenschutz und Sicherheit, Besetzung dieser Positionen mit qualifizierten leitenden Führungskräften in Vollzeit, Rechenschaftspflichten in der gesamten Organisation verankern
- Sicherstellen eines regelmässigen Informationsfluss zum Datenschutz und zu Sicherheitsrisiken an die Geschäftsleitung und den Aufsichtsrat, dazu gehören insbesondere Berichte zu Cyber-Zwischenfällen und Rechtsverstössen
- Jährliche Überprüfung der IT-Budgets für Datenschutz und Sicherheit, unabhängig vom Budget des CIO
- Jährliche Überprüfung der Sicherheitsmassnahmen im Unternehmen und der Wirksamkeit von Kontrollmechanismen, Überprüfung der Ergebnisse und der eingeleiteten Massnahmen zur Beseitigung von Mängeln
- Regelmässige Anpassung der Abdeckung des Cyber-Versicherungsschutzes an das Risikoprofil der Organisation
Die Vorabergebnisse der Carnegie Mellon CyLab Governance Studie 2012 sind ab sofort zum Download verfügbar. Der finale Report, der auch Unterschiede zwischen den Regionen Asien, Europa und Nordamerika sowie nach Industriesektoren betrachtet, wird im März 2012 veröffentlicht.
Risiken aktiv reduzieren
Dazu Brian Fitzgerald, Vice President, Marketing, RSA: „Die Modelle für die Erstellung, Bereitstellung und Verwaltung von IT-Dienstleistungen sind in einer Phase der Transformation getrieben durch Virtualisierung, Cloud Computing, der zunehmenden Vernetzung von Menschen und Organisationen und dem Entstehen einer neuen Kategorie von Big-Data-Anwendungen. Im Zuge der Konvergenz dieser Trends inmitten einer zunehmend komplexen Compliance- und Bedrohungslandschaft müssen Führungskräfte und Vorstände aktiv sicherstellen, dass diese Risiken reduziert werden, so dass sie in höchstem Masse von den Vorteilen der nächsten Generation von IT profitieren.“
«Datenschutz und Sicherheit sind Fragen der Wettbewerbsfähigkeit»
Jody Westby, CEO of Global Risk & Adjunct Distinguished Fellow, Carnegie Mellon CyLab, sagt: „Datenschutz und Sicherheit sind Fragen der Wettbewerbsfähigkeit. Unternehmen, die die Rahmenbedingungen für ein vertrauenswürdiges Arbeitsumfeld schaffen, werden auch im Markt als verlässliches Unternehmen wahrgenommen. Effektive Governance steigert die Profitabilität, weil Verbindlichkeiten und finanzielle Verluste verringert werden, die durch Compliance-Kosten, Ausfallzeiten, Internetkriminalität und Diebstahl von geistigem Eigentum entstehen können.“
Zusätzliche Informationen:
- 2012 Carnegie Mellon CyLab Governance Survey zum Download
- Die RSA Thought Leadership Seite auf der EMC Website
- Mehr zu Trusted IT von EMC
ÜberRSA
RSA, The Security Division of EMC, ist ein führender Anbieter von Sicherheits-, Risiko- und Compliance-Management-Lösungen. Für die Kunden von RSA ist die Lösung ihrer komplexen sicherheitsspezifischen Herausforderungen ein kritischer Faktor für den Unternehmenserfolg. Zu den Herausforderungen zählen das Management organisatorischer Risiken, die Absicherung des Zugriffs auf unternehmensinterne Ressourcen, der Nachweis der Einhaltung von Sicherheitsanforderungen sowie der Schutz von virtuellen Infrastrukturen und Cloud-Umgebungen.
Mit Identitätsprüfung, Kryptographie, Schlüsselmanagement, Security Information und Event Management (SIEM), Data Loss Prevention und Betrugsbekämpfung bis hin zu Enterprise Governance, Risk & Compliance (eGRC) sowie umfassenden Beratungsleistungen sorgt RSA für Transparenz und Vertrauen in digitale Identitäten, Transaktionen und Daten von Millionen von Anwendern. www.RSA.com
Über Carnegie Mellon CyLab
Carnegie Mellon CyLab ist ein universitäres, multidisziplinäres Forschungs- und Ausbildungszentrum für Computer- und Netzwerksicherheit, Datensicherheit und Software Assurance. Das CyLab hat seinen Sitz am College of Engineering an der Carnegie Mellon University. Mehr Informationen finden sich unter www.cylab.cmu.edu.
Über EMC
EMC unterstützt mit seinen Technologien und Lösungen Firmen dabei, den maximalen Nutzen aus ihrem Informationsbestand zu ziehen. Dabei hilft EMC Organisationen von der Entwicklung über den Aufbau bis hin zur Verwaltung von flexiblen, skalierbaren und sicheren Informationsinfrastrukturen – die zukünftig vollständig virtualisiert sein werden. EMC ist in der Schweiz in Zürich (Hauptsitz), Bern und Gland/VD vertreten. Weitere Informationen über EMC finden sich unter: www.emc2.ch.