Laut einer aktuellen Studie von Accenture verbessern gezielte Initiativen zur Früherkennung von Hackerangriffen den “Security Effectiveness Score” (SES) um mehr als die Hälfte (53 Prozent). Die wichtigste Voraussetzung dafür: Der Chief Information Security Officer (CISO) muss eng mit dem Geschäftsführer des Unternehmens kommunizieren.
Die Studie, in deren Rahmen 237 Unternehmen weltweit befragt wurden belegt, dass Firmen, die kriminellen Hackern noch vor deren Angriff mit vorausschauenden Initiativen zur Früherkennung entgegentreten, die IT-Sicherheit erheblich verbessern. Rein reaktiv agierende Firmen dagegen verbesserten ihre Scorewert nur um zwei Prozent. Für die Berechnung des SES misst und bewertet das Ponemon Institute 48 Sicherheits-Features und -Praktiken.
In der Studie „The Cyber Security Leap: From Laggard to Leader“ werden zwei Idealtypen definiert: Vorreiter („Leapfrogs“) und Nachzügler („Laggards“). Erstere stimmen ihre Security-Ziele auf die Unternehmensziele ab. Sie konzentrieren sich auf Innovationen im Bereich Sicherheit und managen potenzielle Cybersecurity-Risiken aktiv. Nachzügler setzen dagegen auf herkömmliche Prävention und Compliance.
Vorreiter-Firmen senken laut Studie die Gefahr von Daten-Pannen um 36 Prozent. Die passiven Firmen bleiben mit fünf Prozent dahinter zurück. In drei Themenbereichen sind die Vorreiter demnach besonders effektiv:
- Strategie: 62 Prozent der Voreiter-Unternehmen lagern Kernaufgaben der Sicherheit aus. Dadurch verschaffen sie sich Zugang zu neuesten Techniken und Ressourcen. Zudem profitieren sie von den Erfahrungen der Partnerfirmen.
- Technik: Vorreiter nutzen die Vorteile der Digitalisierung und neuartiger Techniken. Sie erfassen, wie ihre Business-User damit umgehen und bringen ihre Security-Fähigkeiten auf den neuesten Stand.
- Governance: Beim Abstimmen von Geschäftsbetrieb und Sicherheit belassen es die Vorreiter nicht. Sie messen ihre Governance. Das erfordert eine starke Rolle des CISO, die unmittelbar in den Vorstand eingebunden und direkt mit dem CEO kommunizieren muss. 71 Prozent der Vorreiter-Firmen haben eine solche Funktion etabliert.
Der Schutz eines Unternehmens erfordere laut Accenture Digital dynamische und strategische Aktivitäten. Sicherheit müsse sowohl aktiv als auch adaptiv gemessen werden. Schließlich sollen Kunden, Partner und Lieferanten integriert werden, Risiken aber draußen bleiben. Unternehmen, die sich effektiver vor Cyber-Kriminalität schützen wollen, profitieren laut Studien-Verfasser von den Erfahrungswerten der in der Studie identifizierten Vorreiter. Sie sollten in der Chefetage ansetzen, um die Bedeutung von Sicherheit zu untermauern, und gezielte Maßnahmen an alle Mitarbeiter kommunizieren. Wenn jeder Einzelne die Verantwortung für bestimmte Security-Ziele übernimmt, brechen die Sicherheits-Silos innerhalb des Unternehmens auf.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: Wer kriminellen Hackern zuvor kommt, verbessert die Sicherheit um über 50 Prozent