Unternehmen-Security & Verbesserung der Governance


Studie deckt Defizite beim Verständnis der Bewertung und Behandlung von IT-Sicherheitsrisiken im Zusammenhang mit dem Enterprise-Risk-Management
Unternehmen in Europa sind konsequenter bei Sicherheit und Datenschutz als US-Unternehmen - Nachholbedarf haben Energie- und Industrieunternehmen

(08.06.12) - Der Carnegie Mellon Governance of Enterprise Security: CyLab 2012 Report untersucht, wie führende Unternehmen weltweit bei der Cyber-Governance aufgestellt sind; betrachtet werden die Regionen Asien, Europa und Nordamerika sowie ausgewählte Branchen. Die Studie zeigt, dass Aufsichtsräte und Führungskräfte das Risiko-Management ernst nehmen. Dennoch gibt es noch deutliche Defizite beim Verständnis der Bewertung und Behandlung von IT-Sicherheitsrisiken im Zusammenhang mit dem Enterprise-Risk-Management.

Konkret bedeutet dies, dass Vorstände noch nicht ausreichend verstehen, wie stark das Geschäft ihres Unternehmens von IT-Systemen und der sicheren Datenspeicherung abhängig ist. Weniger als zwei Drittel der befragten Organisationen haben Vollzeit-Personal in Schlüsselpositionen für die Daten- und IT-Sicherheit, zum Beispiel einen Chief Information Security Officer (CISO), Chief Security Officer (CSO), Chief Privacy Officer (CPO) oder Chief Risk Officer (CRO).

Die Umfrageergebnisse bestätigen, dass der Finanzsektor bei Sicherheit und Governance weiter ist als andere Branchen. Vorstände im Finanzsektor legen eine hohe Priorität auf das Cyber-Risiko-Management. Im Gegensatz dazu widmen sich Vorstände in Energie- und Industrieunternehmen zu wenig kritischen Themen wie dem Lieferanten-Management, der Computer- und Informationssicherheit sowie der Aufrechterhaltung des IT-Betriebs.

Obwohl Europa in Bezug auf Datenschutzbestimmungen führend ist, geben nur drei Prozent der Befragten an, dass ihr Unternehmen einen CPO hat. Im Gegensatz zu der verbreiteten Annahme, dass Unternehmen in den USA führend in puncto Sicherheit sind, zeigen die Ergebnisse, dass die Vorstände von US-Unternehmen nicht so weit sind wie Unternehmensführungen in Europa und Asien. Das zeigt sich in Punkten wie der regelmäßigen Überprüfung von Jahresbudgets, Rollen und Verantwortlichkeiten sowie Unternehmensrichtlinien.

Empfehlungen
Zur Verbesserung der Corporate Governance in Bezug auf Datenschutz und Sicherheit gibt die Studie eine Reihe von Empfehlungen:

1. Etablieren Sie auf Vorstandsebene getrennt vom Auditkomitee ein Risikokomitee, das für die Überwachung der Unternehmensrisiken inklusive der IT-Risiken verantwortlich ist. Stellen Sie Führungskräfte ein, die über Erfahrung auf den Gebieten Sicherheit, IT-Governance und Cyber-Bedrohungen verfügen.

2. Stellen Sie sicher, dass die Verantwortlichkeiten für Datenschutz und Sicherheit voneinander getrennt sind und die Verantwortlichkeiten hierfür eindeutig zugeordnet sind. CIO, CISO/CSO und CPO sollten zudem unabhängig voneinander an die Unternehmensführung berichten.

3. Durchleuchten Sie die bestehende Organisationsstruktur und etablieren Sie ein unternehmensübergreifendes Team, das Datenschutz- und Sicherheitsaspekte bespricht sowie koordiniert und sich mindestens einmal im Monat trifft. Zu diesem Team sollten leitende Manager aus der Personal- und Rechtsabteilung, Public Relations und dem Einkauf gehören. Außerdem sollten CFO, CIO, CISO/CSO, CRO und CPO sowie die Geschäftsbereichsleiter zu diesem Team gehören.

4. Überprüfen und ergänzen Sie Ihren Unternehmenskodex, um eine Kultur zu schaffen, in der die Datenschutzrichtlinien respektiert und eingehalten werden.

5. Überprüfen Sie die Sicherheitsrichtlinien des Unternehmens und stellen Sie sicher, dass sie den höchsten Standards entsprechen. Die Richtlinien müssen einen Krisenreaktionsplan, Vorgaben für die Meldung von Sicherheitsverletzungen, Disaster Recovery sowie einen Krisenkommunikationsplan umfassen.

6. Stellen Sie sicher, dass Datenschutz- und Sicherheitsrichtlinien für Zulieferer (inklusive der Cloud- und Software-as-a-Service (SaaS)-Provider) den unternehmenseigenen Sicherheitsvorgaben entsprechen. Dazu gehören auch ein jährlicher Audit und die Vorgabe von Mindestanforderungen an Kontrollen. Die Kommunikations- und Benachrichtigungsprozesse im Falle eines sicherheitsrelevanten Vorfalls oder eines Verstoßes gegen die Sicherheitsrichtlinien sollten besonders kritisch in Augenschein genommen werden.

Lesen Sie zum Thema "Software-as-a-Service" auch: SaaS-Magazin.de (www.saasmagazin.de)

7. Führen Sie ein jährliches Audit der unternehmenseigenen Sicherheitsrichtlinien durch, das vom Audit-Komitee geprüft wird.

8. Überprüfen Sie jährlich das unternehmenseigene Sicherheitsprogramm und die Effektivität der Kontrollen und stellen Sie sicher, dass erkannte Schwachstellen oder Lücken geschlossen werden. Dies sollte vom Risikokomitee auf Vorstandsebene überwacht werden.

9. Fordern Sie vom leitenden Management regelmäßige Berichte über Datenschutz- und Sicherheitsrisiken ein.

10. Überprüfen Sie auf Vorstandsebene einmal jährlich die Budgets für das Management des Datenschutzes und der Sicherheitsrisiken.

11. Führen sie ein jährliches Audit ein, um die Einhaltung der Datenschutzrichtlinien sicherzustellen. Überprüfen Sie außerdem den Krisenreaktionsplan, die Vorgaben für die Meldung von Sicherheitsverletzungen, Disaster Recovery sowie den Krisenkommunikationsplan.

12. Bewerten Sie die aktuellen Cyberbedrohungen und die möglicherweise daraus resultierenden Verluste; überprüfen Sie, ob Ihre Versicherungen alle IT-Risiken adäquat abdecken.
(RSA: EMC: ra)

RSA: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Schutz persönlicher Daten

    Thales gab die Ergebnisse des Thales Digital Trust Index 2024 bekannt. Die Studie zeigt, dass der Bankensektor das größte Vertrauen genießt, wenn es um den Schutz persönlicher Daten und die Bereitstellung vertrauenswürdiger digitaler Erfahrungen geht.

  • Compliance am Arbeitsplatz

    Cypher Learning hat eine neue Studie über die Schulung von Mitarbeitenden zur Einhaltung von Vorschriften, Richtlinien und Verfahren am Arbeitsplatz veröffentlicht: The True Cost of Rule Breakers in Workplace Compliance. Die Studie belegt, dass die Nichteinhaltung von Vorschriften Unternehmen im Durchschnitt 1,5 Millionen Euro pro Jahr kostet.

  • Digitale Angebote ermöglichen mehr Transparenz

    Verbraucherinnen und Verbraucher fühlen sich überwiegend online gut informiert und fair behandelt. Zugleich sieht eine Mehrheit keine Notwendigkeit für zusätzliche Vorgaben zum Verbraucherschutz im Internet. Das sind Ergebnisse einer Befragung von 1.013 Internetnutzerinnen und -nutzern ab 16 Jahren, die der Digitalverband Bitkom vorgestellt hat.

  • Geschäftliche & wirtschaftliche Disruption

    Eine neue Studie zeigt, dass fast 40 Prozent der CFOs weltweit und 30 Prozent der CFOs in Deutschland kein volles Vertrauen in die Richtigkeit der Finanzdaten ihres Unternehmens haben - eine Herausforderung für die strategische Entscheidungsfindung in einer Zeit, in der globale Führungskräfte mit einer Vielzahl von externen Herausforderungen konfrontiert sind.

  • Kampf gegen Korruption

    Transparency International hat den Korruptionswahrnehmungsindex 2023 (Corruption Perceptions Index, CPI) veröffentlicht. Der jährlich erscheinende Index ist der weltweit bekannteste Korruptionsindikator. Er umfasst 180 Staaten und Gebiete und bewertet den Grad der in Politik und Verwaltung wahrgenommenen Korruption. Der Meta-Index beruht auf der Einschätzung von Experten sowie Führungskräften.

Kaum auf Diebstahl und Spionage vorbereitet Einsatz sozialer Medien in Unternehmen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen