Unternehmen-Security & Verbesserung der Governance
Studie deckt Defizite beim Verständnis der Bewertung und Behandlung von IT-Sicherheitsrisiken im Zusammenhang mit dem Enterprise-Risk-Management
Unternehmen in Europa sind konsequenter bei Sicherheit und Datenschutz als US-Unternehmen - Nachholbedarf haben Energie- und Industrieunternehmen
(08.06.12) - Der Carnegie Mellon Governance of Enterprise Security: CyLab 2012 Report untersucht, wie führende Unternehmen weltweit bei der Cyber-Governance aufgestellt sind; betrachtet werden die Regionen Asien, Europa und Nordamerika sowie ausgewählte Branchen. Die Studie zeigt, dass Aufsichtsräte und Führungskräfte das Risiko-Management ernst nehmen. Dennoch gibt es noch deutliche Defizite beim Verständnis der Bewertung und Behandlung von IT-Sicherheitsrisiken im Zusammenhang mit dem Enterprise-Risk-Management.
Konkret bedeutet dies, dass Vorstände noch nicht ausreichend verstehen, wie stark das Geschäft ihres Unternehmens von IT-Systemen und der sicheren Datenspeicherung abhängig ist. Weniger als zwei Drittel der befragten Organisationen haben Vollzeit-Personal in Schlüsselpositionen für die Daten- und IT-Sicherheit, zum Beispiel einen Chief Information Security Officer (CISO), Chief Security Officer (CSO), Chief Privacy Officer (CPO) oder Chief Risk Officer (CRO).
Die Umfrageergebnisse bestätigen, dass der Finanzsektor bei Sicherheit und Governance weiter ist als andere Branchen. Vorstände im Finanzsektor legen eine hohe Priorität auf das Cyber-Risiko-Management. Im Gegensatz dazu widmen sich Vorstände in Energie- und Industrieunternehmen zu wenig kritischen Themen wie dem Lieferanten-Management, der Computer- und Informationssicherheit sowie der Aufrechterhaltung des IT-Betriebs.
Obwohl Europa in Bezug auf Datenschutzbestimmungen führend ist, geben nur drei Prozent der Befragten an, dass ihr Unternehmen einen CPO hat. Im Gegensatz zu der verbreiteten Annahme, dass Unternehmen in den USA führend in puncto Sicherheit sind, zeigen die Ergebnisse, dass die Vorstände von US-Unternehmen nicht so weit sind wie Unternehmensführungen in Europa und Asien. Das zeigt sich in Punkten wie der regelmäßigen Überprüfung von Jahresbudgets, Rollen und Verantwortlichkeiten sowie Unternehmensrichtlinien.
Empfehlungen
Zur Verbesserung der Corporate Governance in Bezug auf Datenschutz und Sicherheit gibt die Studie eine Reihe von Empfehlungen:
1. Etablieren Sie auf Vorstandsebene getrennt vom Auditkomitee ein Risikokomitee, das für die Überwachung der Unternehmensrisiken inklusive der IT-Risiken verantwortlich ist. Stellen Sie Führungskräfte ein, die über Erfahrung auf den Gebieten Sicherheit, IT-Governance und Cyber-Bedrohungen verfügen.
2. Stellen Sie sicher, dass die Verantwortlichkeiten für Datenschutz und Sicherheit voneinander getrennt sind und die Verantwortlichkeiten hierfür eindeutig zugeordnet sind. CIO, CISO/CSO und CPO sollten zudem unabhängig voneinander an die Unternehmensführung berichten.
3. Durchleuchten Sie die bestehende Organisationsstruktur und etablieren Sie ein unternehmensübergreifendes Team, das Datenschutz- und Sicherheitsaspekte bespricht sowie koordiniert und sich mindestens einmal im Monat trifft. Zu diesem Team sollten leitende Manager aus der Personal- und Rechtsabteilung, Public Relations und dem Einkauf gehören. Außerdem sollten CFO, CIO, CISO/CSO, CRO und CPO sowie die Geschäftsbereichsleiter zu diesem Team gehören.
4. Überprüfen und ergänzen Sie Ihren Unternehmenskodex, um eine Kultur zu schaffen, in der die Datenschutzrichtlinien respektiert und eingehalten werden.
5. Überprüfen Sie die Sicherheitsrichtlinien des Unternehmens und stellen Sie sicher, dass sie den höchsten Standards entsprechen. Die Richtlinien müssen einen Krisenreaktionsplan, Vorgaben für die Meldung von Sicherheitsverletzungen, Disaster Recovery sowie einen Krisenkommunikationsplan umfassen.
6. Stellen Sie sicher, dass Datenschutz- und Sicherheitsrichtlinien für Zulieferer (inklusive der Cloud- und Software-as-a-Service (SaaS)-Provider) den unternehmenseigenen Sicherheitsvorgaben entsprechen. Dazu gehören auch ein jährlicher Audit und die Vorgabe von Mindestanforderungen an Kontrollen. Die Kommunikations- und Benachrichtigungsprozesse im Falle eines sicherheitsrelevanten Vorfalls oder eines Verstoßes gegen die Sicherheitsrichtlinien sollten besonders kritisch in Augenschein genommen werden.
Lesen Sie zum Thema "Software-as-a-Service" auch: SaaS-Magazin.de (www.saasmagazin.de)
7. Führen Sie ein jährliches Audit der unternehmenseigenen Sicherheitsrichtlinien durch, das vom Audit-Komitee geprüft wird.
8. Überprüfen Sie jährlich das unternehmenseigene Sicherheitsprogramm und die Effektivität der Kontrollen und stellen Sie sicher, dass erkannte Schwachstellen oder Lücken geschlossen werden. Dies sollte vom Risikokomitee auf Vorstandsebene überwacht werden.
9. Fordern Sie vom leitenden Management regelmäßige Berichte über Datenschutz- und Sicherheitsrisiken ein.
10. Überprüfen Sie auf Vorstandsebene einmal jährlich die Budgets für das Management des Datenschutzes und der Sicherheitsrisiken.
11. Führen sie ein jährliches Audit ein, um die Einhaltung der Datenschutzrichtlinien sicherzustellen. Überprüfen Sie außerdem den Krisenreaktionsplan, die Vorgaben für die Meldung von Sicherheitsverletzungen, Disaster Recovery sowie den Krisenkommunikationsplan.
12. Bewerten Sie die aktuellen Cyberbedrohungen und die möglicherweise daraus resultierenden Verluste; überprüfen Sie, ob Ihre Versicherungen alle IT-Risiken adäquat abdecken.
(RSA: EMC: ra)
RSA: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>