Unterschiedliche Interessen in Unternehmen zum Thema Cyber-Security erfolgreich kanalisieren und beherrschen

Ergebnisse zu der Devoteam-Umfrage CYBERSECURITY

Weiterstadt, 08. Juni 2020 – Devoteam (Euronext Paris: DVT), der führende IT-Dienstleister und Pure Player in der Digitalen Transformation in EMEA, hat gemeinsam mit IDC eine Umfrage zum Thema Cyber-Security „A Plan for Security Transformation“ durchgeführt und die Ergebnisse veröffentlicht. Die drei Schwerpunktthemen der Umfrage werden von Devoteam auch in Form von Whitepapers bereitgestellt. Die Umfrage zeigt, dass die Business-, Security- und IT-Entscheider in den Unternehmen noch immer unterschiedliche Prioritäten hinsichtlich der Umsetzung von Cyber-Security haben. Teilweise wird auch die Sicherheit von Informationssystemen und Netzen noch als Einschränkung des Kerngeschäftes wahrgenommen.

Wichtigste Erkenntnisse aus der Umfrage:

– Die funktionalen Entscheidungsträger haben unterschiedliche Prioritäten beim Thema Verbesserung der Cyber-Security im Unternehmen.

Die befragten Stakeholder-Gruppen orientieren sich an den Hauptzielen einer Digitalen Transformation, wie Innovation, Kreation von Produkten/ Dienstleistungen und Beschleunigung bei der Markteinführung. Die funktionalen Entscheider haben dabei jeweils eigene Prioritäten. Nach der Umfrage erwarten 58,28% der Business Manager von der Security Transformation eine Verbesserung des Engagements der Geschäftsbereiche. Für 61,97% der IT-Verantwortlichen ist die Systemintegration das übergeordnete Ziel, während für die Security-Verantwortlichen vor allem die Informationssicherheit (65,28%) im Vordergrund steht. Derartige konkurrierende Prioritäten sind nicht förderlich für eine erfolgreiche Transformation der Geschäftsabwicklung durch die Digitalisierung.

Die Einhaltung der Rechtsvorschriften und die Neuausrichtung der Unternehmen hin zu digitalen Vertriebskanälen gehören ebenfalls zu den Prioritäten, diese wurden von den Befragten an die zweite bzw. dritte Stelle ihrer Prioritätenliste gesetzt.

– Die Komplexität des Themas Cyber-Security macht es für Unternehmen schwierig, die richtigen Ansatzpunkte zu finden.

Budget-Zwänge behindern die Verbesserung der Informationssicherheit in Unternehmen und Organisationen. Bei der Auswertung der Umfrage über alle Entscheider-Profile hinweg kam es zu folgendem Bild: 47,09% aller Befragten sehen das Budget, vor dem Fachkräftemangel (40,93%) und der Fragmentierung bzw. der mangelnden Integration des Produktportfolios von Sicherheitsprodukten (39,93%) als größte Herausforderung.

Im Einzelnen positionieren die Business Manager an erster Stelle der Herausforderungen die Budget-Zwänge (52,98%), gefolgt von Qualifikationsdefiziten (43,71%) und den Schwierigkeiten die Sicherheits- mit Unternehmens- und Produktivitätsprioritäten in Einklang zu bringen (41,72%). Auch die Security-Entscheider priorisieren die Budget-Engpässe, jedoch gefolgt von der Fragmentierung oder der mangelnden Integration des Produktportfolios von Sicherheitsprodukten (43,2%) und dem Fachkräftemangel (39,81%). Während die IT-Entscheider die Fragmentierung oder mangelnde Integration des Produktportfolios im Sicherheitsbereich an die erste Stelle gesetzt haben, gefolgt von dem Fachkräftemangel (40,17%) und den Budget-Zwängen (39,74%).

Diese Ergebnisse zeigen, wie schwierig es für die meisten Unternehmen ist, die richtige Balance zwischen den Informationssicherheitsthemen und der betrieblichen Effizienz zu finden.

– Die Integration der Informations- und IT-Sicherheit in den Planungsprozess einer jeden neuen Entwicklung im Unternehmen ist eine wesentliche Erkenntnis der Umfrage.

Obwohl die meisten Unternehmen und Organisationen sich über die Vorteile von „Security by Design“ einig sind, haben es nur wenige bereits in die Praxis umgesetzt. Bei dem Launch neuer Projekte und Initiativen ist die Informationssicherheit bei mehr als einem Drittel der befragten Unternehmen und Organisationen ein Aspekt, der erst nachträglich betrachtet wird. „Security by Design“ ist nur bei 13% der befragten Unternehmen bereits in den Regelprozess integriert. Fast die Hälfte der befragten Entscheider (49,78%) betrachten „Security by Design“ immer noch ad hoc oder von Fall zu Fall.

Die Umfrage zeigt auch, dass 92,2% der Unternehmen Risikomanagement und Risikomodellierung in ihre Strategieplanung einbeziehen und 81,4% der Unternehmen bestätigen, dass Cyber-Security in ihrer Unternehmensmanagementstrategie widergespiegelt ist. Nur 26% der befragten Unternehmen betrachten jedoch Cyber-Security bereits bei der Planung neuer Geschäftsinitiativen.

– Aufforderung zur Überprüfung der Governance für die Cyber-Security.

Der Chief Information Security Officer (CISO) sollte, um eine bessere Transparenz hinsichtlich der Geschäftsrisiken zu schaffen, eine Schlüsselrolle im Unternehmen einnehmen. Als Manager im Unternehmen ist der CISO der einzige der Cyber-Bedrohungen und Geschäftsrisiken, die von den eingesetzten Informationssystemen ausgehen, darstellen und notwendige und geeignete Lösungen aufzeigen kann. Es liegt in der Verantwortung des CISO einen risikobasierten Ansatz für die Cyber-Security im Unternehmen durch den Einsatz geeigneter Werkzeuge über alle Funktionen hinweg und vor allem durch Schärfung des Bewusstseins für die Geschäftsrisiken einzuführen. Ziel ist es, Interessenkonflikte hinsichtlich der Governance, der Leitlinien und des Managements der Cyber-Security innerhalb der Organisation zu.

Präambel
Da die Umfrage vor der Coronavirus-Krise durchgeführt wurde, sind die Ergebnisse umso wertvoller. Die Zunahme von Cyber-Angriffen während der COVID-19 Pandemie hat leider gezeigt, dass die Widerstandsfähigkeit im Business zunehmend auf digitale Systeme angewiesen ist und damit auf die Fähigkeiten unser Geschäft vor Bedrohungen von außen und innen zu schützen. Diese Notwendigkeit wurde durch die Krise lediglich verschärft. Die Herausforderungen für ein Unternehmen bestehen jedoch nicht darin den Schaden zu begrenzen, sondern unabhängig davon was passiert, das Geschäft aufrecht zu erhalten und wettbewerbsfähig zu bleiben.

Die Digitale Transformation kristallisiert sich auf Unternehmenskultur und -ziele.
Alle Befragten (100%) haben bestätigt, dass bereits ein digitales Transformationsprogramm in ihrem Unternehmen ausgerollt ist. Diese Aussagen, müssen jedoch relativiert werden, da es für die Befragten nicht immer die gleiche Bedeutung hat. Für die Business Manager bedeutet Digitale Transformation in erster Linie die Schaffung neuer Produkte/ Dienstleistungen, Beschleunigung der Markteinführung (62,3%), während der gleiche Prozentsatz der IT-Entscheider meint, es gehe in erster Linie darum, die User-Experience zu verbessern um die „Loyalität und die Kundenbindung zu fördern“. Gleichzeitig geht es bei fast zwei Dritteln der Security-Manager (65,9%) vor allem um den verstärkten Einsatz datengestützter Entscheidungsfindung.

Unterschiedliche Erwartungshaltung:
Business-Manager erwarten ein besseres Engagement als Priorität der Digitalen Transformation. Während die IT-Entscheider die Systemintegration als das oberste Ziel postulieren. Es überrascht nicht, dass die Security-Funktionen vor allem die Sicherheit der Informationen innerhalb der Organisation gewährleisten möchten.

Cyber-Security: Das damit verbundene Risiko wird nicht so stark wahrgenommen, wie manche glauben!
Die Verbesserung der betrieblichen Effizienz wird als Primärziel von 24,96% aller Befragten genannt, dennoch wird diese nicht als Treiber der Wertschöpfung gesehen. Weitere Ziele sind die Beseitigung von Budget-Engpässen sowie die Fragmentierung und die mangelnde Integration des Sicherheitsportfolios und der Fachkräftemangel. All dies sind Gründe, die uns daran hindern Maßnahmen umzusetzen, die von den Vorschriften und Aufsichtsbehörden in diesem Bereich gefordert werden.

Die Notwendigkeit bei Unternehmen vom absoluten Begriff der Security zum relativen Begriff des Risiko Managements überzugehen.
Die Transformation sorgt dafür, dass IT Sicherheit nicht mehr als obskures und kostspieliges Hemmnis wahrgenommen wird, sondern ein objektives Kriterium für das Risiko-Management im Unternehmen darstellt. Die Umsetzung eines risikobasierten Ansatzes macht die potenziellen Auswirkungen auf das Geschäft des Unternehmens deutlich. Die Bedeutung wird für alle verständlich, messbar und vergleichbar, so dass sich Unternehmen klare Ziele und Regeln setzen müssen, um die Fortschritte bei den getätigten Investitionen auch messen zu können.

Sicherheitsthemen in die Planung von Neuentwicklungen integrieren.
Cyber-Security sollte keine Option darstellen. Insbesondere da mehr als die Hälfte der befragten Entscheidungsträger davon überzeugt sind, dass die Integration von Sicherheit in die Planung bei Neuentwicklungen eine echte Wertschöpfung darstellt. Dennoch scheint dies in der praktischen Umsetzung eine echte Herausforderung zu sein, da nur 1 von 10 Unternehmen (13%) sich mit dem Thema bereits heute auseinandersetzen, während sich weitere 50% nur von Fall zu Fall mit Cyber-Security beschäftige.

Eine Metamorphose ist im Gange – aber die Verlockung eines hohen Gewinns bleibt.
Wenn es um Sicherheit von Informationssystemen und von Netzen geht, beginnen sich die Linien zu verschieben. Sicherheit sollte nicht das Geschäft eines einzelnen Mitarbeiters sein, sondern ein integraler Bestandteil der Kultur einer jeden Abteilung. Unternehmen und Organisationen haben bereits in einer Startphase begonnen zu digitalen Plattformen zu migrieren. Über alle Funktionen betrachtet integrieren fast 26% der Unternehmen die Sicherheit von Systemen und Netzen bereits in der Entwicklungsphase (37,7% der Business-Funktionen, 27,3% der Security-Funktionen und 23,2% der IT-Funktionen).

Unabhängig vom Versprechen einer sicheren Transformation der Arbeitsplätze, neigen Organisationen in einem zunehmend wettbewerbsorientierten Marktumfeld immer noch dazu, die Anwendersicherheit gegenüber der Unterstützung von Geschäftsinitiativen zu vernachlässigen. Der CIO ist besser auf regulatorische Risiken vorbereitet als auf die Risiken der Anwendersicherheit.

Cyber-Security-Governance überdenken, um den Wandel zu beschleunigen
Während CIOs und CISOs auf einer gemeinsamen Linie liegen was den Nutzen und die formale Herangehensweise an die Sicherheitsthemen angeht, unterscheiden sich ihre Ansichten jedoch wesentlich wenn sie gefragt werden, was im Hinblick auf die betriebliche Sicherheit notwendig und wichtig ist.

Security Manager legen großen Wert auf die unternehmensweite Integration von Sicherheit (Integration und Optimierung zur Unterstützung des Geschäfts). IT-Manager verstehen die Herausforderung, ein engagiertes Team zu unterhalten, und sie sind eher bereit, wichtige Sicherheitsbereiche an Dienstleister auszulagern.

Der CISO – der unentbehrliche Vermittler
Mit einer besseren Vision über potentielle Risiken ist der CISO ein wichtiger Akteur im Unternehmen, da nur der CISO in der Lage ist, Cyber-Bedrohungen in Geschäftsrisiken zu transformieren und auch geeignete Lösungen zur Prävention zu empfehlen. Es liegt in der Verantwortung des CISO einen risikobasierten Ansatz der Cyber-Security in die Unternehmen zu tragen und durch geeignete Werkzeuge und vor allem durch Schärfung einer Risiko- / Security-Kultur über alle Ebenen der Organisation hinweg zu verbreiten.

In der Tat ist dies die Hauptrolle, die dem CISO von den befragten Entscheidungsträgern zugewiesen wird: Kooperieren mit Geschäftsbereichen zur Förderung von Aktivitäten innerhalb einer vereinbarten Risikobereitschaft (47%), vor der Verringerung der Wahrscheinlichkeit von (internen und externen) Bedrohungen, die das Unternehmen und seine Vermögenswerte gefährden (45%) und der Integration der Sicherheit in das Unternehmensumfeld, um Kosten- und Effizienzvorteile zu steigern (43%).

Weitere Informationen:
Die vollständige Umfrage wird in Form von 3 Whitepapers zur Verfügung gestellt. Die Aufteilung auf drei Whitepapers geschieht nicht um einen Spannungsbogen zu schaffen, sondern um die jeweils grundlegenden Tendenzen der Umfrage besser hervorheben zu können. Das erste Whitepaper betrifft das Risikomanagement und die geschäftlichen Auswirkungen, das zweite die Sicherung der Digitalen Transformation und die Digitalisierung der Security, und die dritte DevSecOps und die operative Exzellenz der Sicherheit.

Wir von Devoteam liefern innovative Technologie-Beratung für Unternehmen.

Als professioneller Partner für die digitale Transformation führender Organisationen in der gesamten EMEA-Region setzen sich unsere 7.600 Fachleute dafür ein, dass unsere Kunden ihre „Digital Battles“ gewinnen. Mit unserer einzigartigen Transformations-DNA verbinden wir das Geschäft und die Technologie.

Wir sind in 18 Ländern Europas und des Nahen Ostens vertreten und stützen uns auf mehr als 20 Jahre Erfahrung. Wir gestalten Technologie für Menschen, damit sie für unsere Kunden, Partner und für unsere Mitarbeiter Mehrwerte schaffen.

Devoteam erzielte im Jahr 2019 einen Umsatz in Höhe von 761,9 Millionen EUR.

Wir bei Devoteam sind Digital Transformakers.

Devoteam SA (DVT) ist im B-Fach der Euronext Paris (ISIN: FR 0000073793) gelistet, als Teil der Indizes CAC All Shares, CAC All-Tradables, CAC Mid&Small, CAC Small, CAC SOFT. & C.S., CAC TECHNOLOGY und ENT PEA-PME 150.

Kontakt
Devoteam GmbH
Jürgen Martin
Gutenbergstraße 10
64331 Weiterstadt
+49 6151 868-7487
info@devoteam.de
http://www.devoteam.de

Bildquelle: Devoteam GmbH