Informationssicherheit wird von vielen Unternehmen verstärkt als Antriebsfeder für die Geschäftsoptimierung angesehen. Zu diesem Ergebnis kommt die jährliche Studie über globale Informationssicherheit von Ernst & Young. Jedoch müssen Unternehmen noch mehr tun, um ihre Position bei der Informationssicherheit im globalisierten Geschäftsumfeld, in dem die größten Chancen auch mit den größten Risiken verbunden sind, zu verbessern. Bei den fünf wichtigsten Prioritäten, die gemäß dem Bericht als am Wesentlichsten für künftigen Erfolg angesehen werden, ist der private und persönliche Datenschutz das Kriterium, welches den größten Sprung nach oben auf der Risikotagesordnung in den Vorstandsetagen gemacht hat; es ist auch das verbraucherorientierteste Kriterium.
"Wir haben fünf wichtige Prioritäten bei der Informationssicherheit ermittelt, bei denen Unternehmen wesentliche Fortschritte machen, aber auch, bei denen ständige Verbesserungen notwendig sind, um mit den wachsenden Erfordernissen eines effektiven Risikomanagements Schritt halten zu können" so Paul van Kessel, Global Leader des Bereichs Technology and Security Risk Services bei Ernst & Young. "Zu den bemerkenswertesten Prioritäten gehört der private und persönliche Datenschutz, der in Bezug auf die Informationssicherheit auch das verbraucherorientierteste Kriterium ist. Er ist zu einem Geschäftsthema geworden, bei dem viel auf dem Spiel steht - auf die Tagesordnung des Vorstands katapultiert durch Verbraucherbedenken, die durch intensive Veröffentlichungen von Sicherheitslücken hervorgerufen werden, und den immer stärkeren Reaktionen von Regierung und Gesetzgebung. Verständlicherweise ist es das Gebiet" auf dem Unternehmen am aktivsten sind, und die Handhabung von privatem und persönlichem Datenschutz wird immer formalisierter., Paul van Kessel fügt hinzu: "Unternehmen wissen nur zu gut, dass das Problem von privatem und persönlichem Datenschutz größer ist und tiefer geht, als dies aus den Schlagzeilen hervorgeht. Unsere Studie zeigt, dass dies weiterhin eines der wichtigsten Geschäftsthemen bleiben wird, was größte Umsicht seitens der Unternehmen erfordert und sogar eine noch größere Formalisierung, um die Risiken zu mindern."
Unternehmen und Regierungsbehörden sind nunmehr bekannt dafür, dass sie die Bewusstseinsstärkung hinsichtlich der persönlichen Daten vorantreiben - nach intensiven Berichterstattungen bezüglich Sicherheitslücken bei Verbraucherdaten und zusammen mit der Einholung erheblich größerer Datenmengen und der Weitergabe derselben. Die Globalisierung bringt das Risiko der Geschäftsinformationen mit sich, da diese häufiger und leichter verschoben werden und von den Unternehmen global genutzt und Dritten anvertraut werden.
Compliance ist noch immer die stärkste Triebfeder
Während der private und persönliche Datenschutz zu einem bedeutenden Thema bei der Informationssicherheit geworden ist, ist die regulatorische Compliance bereits das zweite Jahr noch immer die stärkste Triebfeder, welche sich am meisten auf die Handhabung der Informationssicherheit auswirkt und wahrscheinlich auch noch in den nächsten 12 Monaten auswirken wird. Es besteht ein nachdrückliches Einvernehmen - bei nahezu 80% der Studienteilnehmer -, dass unternommene Bemühungen und Aktivitäten, um der regulatorischen Compliance Rechnung zu tragen, tatsächlich die Informationssicherheit der Unternehmen verbessert haben. Es ist für Unternehmen jetzt also wichtig, eine Rationalisierung und Optimierung der Sicherheit vorzunehmen, um ihre Compliance-Kontrollen und -Prozesse hinsichtlich der Informationssicherheit zu halten und sie in ihre regulären Betriebsabläufe einzuschließen.
Risiko hinsichtlich Dritter
Unternehmen erkennen die Herausforderungen, Themen und erforderlichen Handlungen, um die Risiken in Bezug auf Beziehungen mit Dritten zu managen, und zwar besonders beim Einsatz von Kundendaten bei outgesourcten Kundenservicegesellschaften in den sich schnell entwickelnden Volkswirtschaften. Mehr als ein Drittel der Studienteilnehmer gaben an, sie hätten formelle Prozedere für das Risikomanagement hinsichtlich Lieferanten. Die Lieferanten selbst werden im Laufe des nächsten Jahres wahrscheinlich mehr Zeit aufbringen, die Zertifizierungserfordernisse bei der Informationsssicherheit einzuhalten. Die Studie zeigt jedoch, dass Unternehmen uneinheitliche Methoden und Prozedere einsetzen, um diese Beziehungen zu managen. Mehr als 50 % der Studienteilnehmer sagten, dass sie das Thema Lieferantenrisiko lediglich informal angehen oder überhaupt nicht. Nur 14 % der Unternehmen verlangen von ihren Lieferanten, eine unabhängige Prüfung ihrer Informationen und Datenpraktiken entgegen der führenden Praktiken vorzunehmen. Van Kessel folgert: "Insgesamt bestätigt unsere globale Informationssicherheitsstudie 2006, dass die Informationssicherheit noch nie wichtiger war. Sie zeigt, dass viele Unternehmen erhebliche Fortschritte bei der Risikominderung machen, indem sie ihre Informationssicherheit stärken und zwar infolge von größeren Investitionen, einer stärkeren Einbindung des Managements, positiven Einflüssen aufgrund von regulatorischem Druck und einer gewissen Reife bei dem führenden Thema Informationssicherheit. Die Dynamik der Risiken erfordert jedoch permanente Verbesserungen und Aktualisierungen der Informationssicherheitsmaßnahmen."
Ein Blick nach vorne - Herausforderungen und Prioritäten 2007
Die globale Informationssicherheitsstudie 2006 deutet auf große Herausforderungen und herausragende Prioritäten hin, die sich mit an Sicherheit grenzender Wahrscheinlichkeit in der Zukunft zeigen werden:
- Regulatorische Compliance wird die Informationssicherheit weiterhin dominieren, die Unternehmen insofern herausfordern, wie sie die Compliance erhalten und sie in ein maßgebliches Risikomanagement und in interne Kontrollprozesse integrieren.
- Datenschutz wird die Unternehmen und deren Führungskräfte im Bereich Informationssicherheit weiterhin beschäftigen.
- Zertifizierung gegen anerkannte Standards wird weiterhin eine breite Akzeptanz als ein Schlüsselelement der Informationssicherheit erlangen.
- Benchmarking gegen anerkannte Standards und ihresgleichen wird weiterhin an Umfang und Einfluss zunehmen.
- Durch die Einsicht, dass Informationssicherheitsrisiken damit verknüpft sind, höhere Geschäftsziele zu erreichen, ist es für die Informationssicherheit von noch größerer Priorität" eine proaktive Rolle zu spielen.