Direkt zum Inhalt

IBM Security-Studie zeigt Best-Practices von Sicherheitsverantwortlichen

Drei Viertel der Sicherheitsverantwortlichen (Chief Information Security Officers) haben bereits Cloud-Security-Services im Einsatz
Mobile-Security-Technologie aktuell auf der Agenda

Stuttgart-Ehningen / Armonk, NY - 22 Okt 2013: IBM (NYSE: IBM) hat Ergebnisse aus dem 2013 IBM Chief Information Security Officer (CISO) Assessment veröffentlicht, der im Detail drei Bereiche untersucht, die Sicherheitsverantwortliche betreffen: Geschäftspraktiken, Reife eingesetzter Technologie und Möglichkeiten zur Messung und Kontrolle. Die Studie baut auf dem Know-how erfahrener Sicherheitsverantwortlicher auf und beschreibt eine Reihe innovativer Praktiken, die die Rolle des Sicherheitsbeauftragten im Unternehmen umreißen.

Im gleichen Maß, wie Cloud- und Mobile-Technologien neue Möglichkeiten für Unternehmen schaffen, wächst auch die Gefahr für Unternehmensdaten.  Vor dem Hintergrund raffinierter und fortschreitender Bedrohungen durch Angreifer wird die Rolle eines CISOs zunehmend strategisch in vielen Organisationen. Ein erfahrener CISO ist heute sowohl technologisch bewandert als auch unternehmerisch denkend. Er ist ausgestattet mit der Fähigkeit, Themen auf Geschäftsführungsebene zu vertreten, aber auch in der Lage, komplexe Technologien zu handhaben. Um CISOs dabei zu unterstützen, einen besseren Schutz für ihre Organisation aufzubauen und zu verstehen, wie ihre Rollen sich mit denen anderer Sicherheitsbeauftragter vergleichen lassen, hat das  IBM 2013 CISO Assessment Praktiken und Verhaltensweisen identifiziert und beschrieben, die die Rolle der Informationssicherheitsverantwortlichen stärken können.

Die diesjährige Studie enthält wichtige Erkenntnisse und Best Practices sowie Hinweise auf Risiken, mit denen auch erfahrene Sicherheitsverantwortliche zu kämpfen haben. Mit dem vertiefenden Blick auf die drei Bereiche Business Practices, Technology Maturity und Measurement Capabilities kristallisiert sich ein Weg heraus, an dem sich erfahrene wie auch noch neue Sicherheitsverantwortliche orientieren können.

Geschäftspraktiken/Business Practices: Die befragten Sicherheitsverantwortlichen betonen die Notwendigkeit klarer Strategien und Policies, umfassenden Risikomanagements und sehr guter Vernetzung im Unternehmen, um in ihrer Rolle effektiv zu sein. Ein Verständnis der Anliegen der Geschäftsführungsebene ist ebenfalls entscheidend. Erfahrene Sicherheitsverantwortliche treffen sich regelmäßig mit ihrer Geschäftsführung und intensivieren die Beziehung. In diesen Gesprächen sind die Identifizierung und Bewertung der Risiken (59 Prozent), die Lösung von Budgetthemen (49 Prozent) und die Implementierung neuer Technologien (44 Prozent) die Top-Themen. Die Herausforderung für die Sicherheitsverantwortlichen ist dabei, die vielfältigen Sicherheitsthemen und -aufgaben im Unternehmen erfolgreich zu bewältigen.

Reife von Technologien/Technology Maturity: Mobile Security ist an vorderster Stelle der neu eingeführten Sicherheits-Technologien, von einem Viertel der Sicherheitsverantwortlichen in den letzten 12 Monaten eingeführt. Und obwohl Datenschutz und -sicherheit in einer Cloud-Umgebung immer noch Bedenken darstellen, haben drei Viertel (76 Prozent) irgendeine Art von Cloud-Security-Services im Einsatz - die derzeit gefragtesten Dienste sind dabei Data Monitoring und Audit zusammen mit integriertem Identity und Access Management (beide bei 39 Prozent).

Während Cloud- und Mobile-Computing eine hohe Aufmerksamkeit in vielen Organisationen erhalten, sind die Basistechnologien, auf die CISOs sich konzentrieren,  weiterhin Identity und Access Management (51%), Network-Intrusion-Prevention und Schwachstellen-Scanning (39%) sowie Datenbank-Sicherheit (32%). Die primäre Herausforderung für Mobile-Sicherheit  ist, über die ersten Schritte hinaus zu gehen und weniger über die Technik, sondern mehr über Regeln, Praktiken und die Mobile-Strategie nachzudenken. Weniger als 40% der Organisationen haben bisher spezifische Regeln und Richtlinien für private Geräte oder eine Unternehmensstrategie für Bring-your-own-Device (BYOD). im Einsatz.  Allerdings ist diese Lücke erkannt, die Einrichtung einer Unternehmensstrategie für BYOD (39%) und Regeln für private Geräte (27%) sind die beiden Top-Bereiche für die Entwicklung der IT-Sicherheit in den nächsten 12 Monaten.

Messmöglichkeiten/Measurement Capabilities: Sicherheitsverantwortliche verwenden Metriken vor allem für die Budgetierung und für neue Investitionen in Technologie.  In einigen Fällen verwenden Verantwortliche auch Metriken für die Entwicklung strategischer Prioritäten der Sicherheitsorganisation. Im Allgemeinen sind jedoch technische und betriebswirtschaftliche Kennzahlen noch auf operative Themen ausgerichtet. Zum Beispiel verfolgen mehr als 90 Prozent der Befragten die Anzahl der Sicherheitsvorfälle, verlorene oder gestohlene Unterlagen, Daten oder Geräte, sowie den Audit-und Compliance-Status - dies sind grundlegende Dimensionen, die man bei allen Sicherheitsverantwortlichen erwarten würde. Weit weniger Befragte (12 Prozent) bringen Geschäfts- und Sicherheitsmaßnahmen in das Unternehmensrisiko-Prozessmanagement ein, obwohl Sicherheitsverantwortliche sagen, daß der Einfluß der IT-Sicherheit auf das allgemeine Unternehmensrisiko ihr wichtigste Erfolgsfaktor ist. "Die Studie zeigt deutlich, dass Sicherheitsverantwortliche sich auf das Gleichgewicht zwischen der Entwicklung einer starken, ganzheitliche Sicherheits-und Risikomanagement-Strategie und der Implementierung fortschrittlicher und strategischer Abwehrfähigkeiten  konzentrieren müssen, wie im Thema Mobile und BYOD", sagt David Jarvis, Autor der Studie und Manager im IBM Center for Applied Insights.

Über die Studie
Das IBM Center for Applied Insights hat in Zusammenarbeit mit IBM Security Systems und IBM Security Services in ausführlichen Interviews mit hochrangigen Sicherheitsverantwortlichen die Grundlagen für diesen Report erhoben.  Das Ziel der Interviews war es, spezifische organisatorische Praktiken und Verhaltensweisen zu erheben, die die Rolle und den Einfluss anderen Sicherheitsverantwortlicher stärken könnten. Um Kontinuität zu wahren, wurden Interviewpartner aus dem Pool der 2012 befragen Studienteilnehmer rekrutiert - 80 Prozent der Befragten waren vorher bereits Teilnehmer - mit einem Schwerpunkt auf besonders erfahrene Sicherheitsverantwortliche. Die Befragten kamen aus einem breiten Spektrum von Branchen und vier Ländern. Mehr als 80 Prozent waren in großen Unternehmen, und etwa ein Drittel hatte Sicherheitsbudgets von über einer Million US-Dollar.
Die vollständige Studie finden Sie unter ibm.com/ibmcai/ciso

Über IBM Security
IBM bietet Know-how, Fertigkeiten, Dienstleistungen und Technologien, die helfen können, Kosten und Komplexität für die Absicherung von IT-Infrastrukturen zu senken. IBM Lösungen umfassen Planung und Konzeption, Implementierung, Testing, Überwachung und Verwaltung von Multi-Vendor-Umgebungen.

Weitere Informationen zu IBM Sicherheitslösungen finden Sie unter www.ibm.com/security. Folgen Sie uns unter @IBMSecurity auf Twitter. Besuchen Sie den Security Intelligence Blog unter www.securityintelligence.com

Original US-englische Presseinformation anbei. Weitere Informationen und Ansprechpartner auf Anfrage.

IBM Security study Reveals Business Best Practices of Chief Information Security Officers

Three-fourths of security leaders have deployed cloud security services; Mobile security most recently implemented technology.

Armonk, N.Y. - 21 Oct 2013: IBM (NYSE: IBM) today released insights from the 2013 IBM Chief Information Security Officer Assessment, looking in depth at three areas impacting security leaders, including business practices, technology maturity and measurement capabilities. The study leverages the know-how from experienced security leaders to outline a set of leading practices to help define the role of the security officer. 
As emerging technologies like cloud adoption and mobile computing present new opportunities to organizations, the risk to data grows. Coupled with sophisticated and advanced threats from attackers, the role of the CISO is becoming more strategic within many organizations.  Today’s experienced CISO is required to be both a technologist and a business leader, with the ability to address board level concerns as well as manage complex technologies.  To help CISOs better protect their organization and understand how their roles compare with those of other CISOs, the 2013 IBM CISO Assessment identifies practices and behaviors that can strengthen the role of information security leaders.

This year’s study uncovered key findings, leading practices, and a set of shortcomings that even mature security leaders are wrestling with. Looking in depth at three areas – business practices, technology maturity, and measurement capabilities – a path emerges that acts as a guide for both new and experienced security leaders.

Business practices: The security leaders interviewed stress the need for strong business vision, strategy and policies, comprehensive risk management, and effective business relations to be impactful in their roles. Understanding the concerns of their C-suite is also critical. More mature security leaders meet regularly with their board and C-suite, thereby improving relations. When they meet, the top topics that they discuss include identifying and assessing risks (59 percent), resolving budget issues and requests (49 percent) and new technology deployments (44 percent). The challenge for security leaders is to successfully manage the diverse security concerns of the business.

Technology maturity: Mobile security is the number one “most recently deployed” security technology, with one-quarter of security leaders deploying it in the past 12 months. And although privacy and security in a cloud environment are still concerns, three-fourths (76 percent) have deployed some type of cloud security services – the most popular being data monitoring and audit, along with federated identity and access management (both at 39 percent).   

While cloud and mobile continue to receive a lot of attention within many organizations, foundational technologies that CISOs are focusing on include identity and access management (51%), network intrusion prevention and vulnerability scanning (39%) and database security (32%).
The primary mobile challenge for security leaders is to advance beyond the initial steps and think less about technology and more about policy and strategy. Less than 40% of organizations have deployed specific response policies for personally owned devices or an enterprise strategy for bring-your-own-device (BYOD). However, this gap is being recognized, establishing an enterprise strategy for BYOD (39%) and an incident response policy of personally owned devices (27%) are the two top planned areas for development for the next 12 months.

Measurement capabilities: Security leaders use metrics mainly to guide budgeting and to make the case for new technology investment. In some cases, they use measurements to help develop strategic priorities for the security organization. In general, however, technical and business metrics are still focused on operational issues. For example, over 90 percent of interviewees track the number of security incidents, lost or stolen records, data or devices, and audit and compliance status – fundamental dimensions you would expect all security leaders to track. Far fewer respondents (12 percent) are feeding business and security measures into their enterprise risk process even though security leaders say the impact of security on overall enterprise risk is their most important success factor. 

“It’s evident in this study that security leaders need to focus on finding the delicate balance between developing a strong, holistic security and risk management strategy, while implementing more advanced and strategic capabilities – such as mobility and BYOD,” said David Jarvis, author of the report and manager at the IBM Center for Applied Insights.

About the Assessment
The IBM Center for Applied Insights, in collaboration with IBM Security Systems and IBM Security Services, conducted in-depth interviews with senior leaders who have responsibility for information security in their organizations. The goal of the interviews was to identify specific organizational practices and behaviors that could strengthen the role and influence of other security leaders. To maintain continuity, interviewees were recruited from the pool of 2012 research participants – 80 percent of those recruited were prior participants – with an emphasis on more mature security leaders. Interviewees were from a broad range of industries and four countries. More than 80 percent were associated with large enterprises, and roughly one-third had security budgets of over US$1 million. Access the full study, visit ibm.com/ibmcai/ciso.  

About IBM Security
IBM provides the expertise, skills, services and technology to help you reduce the cost and complexity of securing IT infrastructures for IBM clients. IBM solutions include planning and design through implementation, testing, monitoring and management of multi-vendor environments.

For more information on IBM, visit www.ibm.com/security or to join the conversation and follow @IBMSecurity on Twitter. Visit our Security Intelligence Blog at www.securityintelligence.com

Kontaktinformation

Hans-Jürgen Rehm
Unternehmenskommunikation
IBM Deutschland
Mobile Enterprise, Smarter Computing, Security
+49 7034 15 1887
+49 171 556 69 40
hansrehm@de.ibm.com

Verwandte XML-Feeds
Themen XML-Feeds
Risiko- und Sicherheitsmanagement
IBM Lösungen für IT-Sicherheit, Risikomanagement und Compliance

Kontaktieren Sie uns!