Cybersecurity‐Governance‐Studie von Palo Alto Cyber-Sicherheit wird Vorstandsthema
14. Oktober 2015Risikomanagement für die Cyber-Sicherheit erlangte in letzter Zeit eine deutlich gestiegene Aufmerksamkeit bei Vorständen und Führungskräften. Zu diesem Ergebnis kommt eine weltweite Studie, der Governance of Cybersecurity: 2015 Report, konzipiert vom Georgia Tech Information Security Center (GTISC) entwickelt und unterstützt von Forbes, dem Financial Services Roundtable (FSR) sowie Palo Alto Networks. Im Rahmen der Umfrage wurden Vorstandsmitglieder und Führungskräfte von Forbes Global 2000‐Unternehmen befragt. Die Studie vergleicht Umfrageergebnisse von drei früheren Erhebungen, die im Jahr 2008, 2010 und 2012 durchgeführt wurden.
Cyber‐Governance
Die Ergebnisse der Umfrage zeigen seit 2008 gemeinsame Anstrengungen von Vorstandsmitgliedern und Führungskräften, um Cyber‐Risiken zu begegnen, auf. Die wichtigsten Ergebnisse der Studie von 2015, auch im Vergleich mit früheren Umfrageergebnissen, sind:
• Cyber-Sicherheit hat an Bedeutung gewonnen und ist zu einem Top‐Thema in der Vorstandssitzung avanciert. So befassen sich fast zwei Drittel (63 Prozent) der Befragten aktiv mit Computer‐ und Informationssicherheit, gegenüber 33 Prozent im Jahr 2012.
• Viele Vorstände – 53 Prozent gegenüber 8 Prozent im Jahr 2008 – haben ein Risikokomitee eingerichtet, getrennt vom Prüfungsausschuss. Dieses hat die Verantwortung für die Aufsicht über Cyber-Risiken vom Prüfungsausschuss übernommen.
• Vorstandsmitglieder schenken dem Cyber‐Versicherungsschutz heute viel mehr Aufmerksamkeit. So gaben 48 Prozent der Befragten an, der Vorstand würde sich mit dem Thema Cyber‐Versicherung befassen, gegenüber 28 Prozent im Jahr 2012.
• Die Vorstände räumen auch Erfahrungen in Sachen Risikomanagement und Sicherheit bei der Rekrutierung neuer Vorstandsmitglieder eine größere Bedeutung ein. 59 Prozent der Befragten gaben an, ihr Vorstand habe ein Mitglied mit Risikoexpertise im Team und bei fast einem Viertel (23 Prozent) sei ein Vorstandsmitglied mit Cyber‐Know‐how an Bord.
„Es ist wichtig, dass sich Führungskräfte deutlich intensiver für das Management von Cyber‐Risiken engagieren. Ein angemessener Dialog zwischen den technischen Experten und den Führungskräften, die Ressourcen priorisieren können, ist unerlässlich, um ein Unternehmen effektiv zu schützen. Diese erhöhte Aufmerksamkeit muss jedoch gekoppelt werden mit geeigneten Maßnahmen und der richtigen Kombination von Mensch, Technik und Prozessen, um IT‐Umgebungen abzusichern. Dies beginnt bei der Etablierung einer Präventionskultur gegenüber Sicherheitsverletzungen. Diese Studie liefert eine Grundlage für Unternehmen auf der ganzen Welt, um mehr Diskussionen darüber zu starten, wie dies zu erreichen ist“, erläuterte Ryan Gillis, Vice President of Cybersecurity Strategy and Global Policy bei Palo Alto Networks.
Sektor‐ und Geografiestatistiken
Die Studie von 2015 vergleicht die Umfrageergebnisse in Branchen mit kritischen Infrastrukturen und über geografische Regionen hinweg. Dabei wird deutlich, dass in allen Branchen die Aufmerksamkeit für Cyber-Probleme in den Vorstandsetagen zugenommen hat. Die wichtigsten Ergebnisse in diesem Kontext lauten:
• Der Finanzsektor übertrumpft deutlich die anderen Branchen. 86 Prozent der Befragten gaben dort an, dass ein Vorstands‐Risikokomitee getrennt vom Prüfungsausschuss eingerichtet wurde, gefolgt von der IT‐/TK‐Branche mit 43 Prozent.
• Nordamerikanische und europäische Vorstände widmen Cyber‐Risiken heute deutlich mehr Aufmerksamkeit (85 Prozent bzw. 58 Prozent, gegenüber 40 Prozent und 19 Prozent), während es bei Unternehmen in Asien im Vergleich von 2015 zu 2012 keine Veränderung (38 Prozent) gab.
• Die Bedeutung einer Cyber‐Versicherung hat sich bei Vorständen in Nordamerika verdoppelt von 35 Prozent im Jahr 2012 auf 70 Prozent in diesem Jahr. Bei europäischen Vorständen gab es einen Anstieg um 26 Prozent, während die asiatischen Vorstände in dieser Frage nur auf eine Steigerung von 3 Prozent kommen.
• Die meisten asiatischen Vorstände (98 Prozent) haben ein Risikokomitee, aber nur 43 Prozent der europäischen und 42 Prozent der nordamerikanischen Vorstände.
• Der industrielle Sektor und der Finanzsektor zeigten die größte Zunahme bei der Aufmerksamkeit für Cyber-Probleme. In allen Sektoren zeigten sich deutliche Verbesserungen hinsichtlich der Beteiligung an Best‐Practice‐Aktivitäten im Zusammenhang mit Cyber‐Risiken.
„Mehr Unternehmen als je zuvor, auch in der Finanzdienstleistungsbranche, betrachten Cyber-Bedrohungen als ein großes Problem auf Führungsebene und leiten wichtige Schritte ein, um ihre Kunden und ihr Unternehmen zu schützen“, erklärte Tim Pawlenty, President und CEO des FSR. „Der Governance of Cybersecurity Report 2015 zeigt eine grundlegende Veränderung der Aufmerksamkeit für Cyberthemen gegenüber den Erhebungen in den Jahren 2008, 2010 und 2012“, kommentierte Jody Westby, Autor dieser Umfragereihe und CEO der Global Cyber Risk LLC sowie außerordentlicher Professor am Georgia Institute of Technology. „Dieser Bericht zeigt, dass Vorstandsmitglieder und Führungskräfte zum ersten Mal verstehen, dass sie eine Fürsorgepflicht haben, um die digitalen Ressourcen ihres Unternehmens zu schützen. Hierfür müssen sie Cyber‐Risiken mehr als nur oberflächliche Aufmerksamkeit schenken. Dies ist eine willkommene Veränderung, die dazu beitragen wird, Aktionäre und Kunden zu schützen.“
Raum für Verbesserungen
Trotz aller Verbesserungen gibt es immer noch Raum für Verbesserungen, wie die Studie zeigt. Wichtige Herausforderungen in einigen kritischen Bereichen bleiben:
• Es ist immer noch üblich für CISOs an CIOs zu berichten (40 Prozent tun dies), auch wenn die Berichtsstruktur eine Trennung der Themen ermöglichen würde.
• Während 63 Prozent der Befragten angaben, dass ihr Vorstand regelmäßig oder jährlich ihr Sicherheitsprogramm überprüft, gaben nur 46 Prozent an, dass sie planmäßig an einem Testszenario beteiligt waren.
• Die Vorstände müssen sicherstellen, dass die Sicherheitsteams ihres Unternehmens auf die erforderlichen Ressourcen zurückgreifen können, um ihre digitalen Vermögenswerte zu schützen. Nur 50 Prozent der befragten Vorstände bewerten Sicherheitsbudgets. (rhh)