Reaktive Sicherheitsstrategie ist eine große Herausforderung für CISOs

Neue Studie von F5 zeigt, dass nur 51 % der Unternehmen über eine etablierte IT-Sicherheitsstrategie verfügen

SINGAPUR - Auf der heutigen Singapore International Cyber Week hat F5 Networks (NASDAQ: FFIV) hat einen umfassenden Bericht über die sich entwickelnde Rolle des CISO und die IT-Sicherheitsansätze veröffentlicht, die Unternehmen auf der ganzen Welt angesichts der sich ständig verändernden Bedrohungslandschaft verfolgen. Der Bericht kommt zu dem Schluss, dass der Einfluss der CISOs in den Unternehmen zunimmt, da die IT-Sicherheit immer mehr an Priorität gewinnt; allerdings ist die Sicherheitsstrategie in vielen Unternehmen noch weitgehend reaktiv und nicht auf die Geschäftsfunktionen abgestimmt.

Die vom Ponemon Institute durchgeführten Untersuchungen basieren auf Befragungen von IT-Sicherheitsexperten auf Führungsebene in 184 Unternehmen in sieben Ländern: Die Vereinigten Staaten, das Vereinigte Königreich, Deutschland, Brasilien, Mexiko, Indien und China.

"Diese Studie bietet einen einzigartigen Einblick in die Arbeitsweise von CISOs in der heutigen herausfordernden Umgebung", sagt Mike Convertino, Chief Information Security Officer bei F5. "Es ist klar, dass die CISOs Fortschritte in der Art und Weise machen, wie sie die Sicherheitsfunktion vorantreiben und welche Führungsrolle sie in den Unternehmen einnehmen. Aber in vielen Unternehmen spielt die IT-Sicherheit noch nicht die strategische, proaktive Rolle, die notwendig ist, um Anlagen vollständig zu schützen und sich gegen immer ausgeklügeltere und häufigere Angriffe zu wehren.

Wichtigste Ergebnisse

• Wachsende Verantwortung für CISOs - Obwohl CISOs in der oberen Führungsebene ihrer Unternehmen unterschiedlich viel Einfluss haben, sind die meisten CISOs bei der Verwaltung der Cybersicherheitsrisiken ihrer Unternehmen einflussreich, und ihr Einfluss wächst. Achtundsechzig Prozent der Befragten geben an, dass CISOs das letzte Wort bei allen IT-Sicherheitsausgaben haben, während eine etwas geringere Anzahl (64 %) angibt, dass sie direkten Einfluss und Autorität über alle Sicherheitsausgaben in ihren Unternehmen haben. Siebenundachtzig Prozent der Befragten geben an, dass das IT-Sicherheitsbudget deutlich (18 %), etwas (29 %) oder gar nicht (40 %) gestiegen ist.
   
• Fehlende Abstimmung mit dem Unternehmen - Eine IT-Sicherheitsstrategie, die sich auf das gesamte Unternehmen erstreckt, ist immer noch sehr selten. Achtundfünfzig Prozent der Befragten geben an, dass die IT-Sicherheit eine eigenständige Funktion ist, und nur 22 Prozent sagen, dass die Sicherheit in andere Geschäftsteams integriert ist, während 45 Prozent sagen, dass ihre Sicherheitsfunktion keine klar definierten Verantwortungsbereiche hat. Fünfundsiebzig Prozent der Befragten geben an, dass aufgrund der mangelnden Integration mit den Geschäftsfunktionen, Revier- und Silo-Probleme entweder einen erheblichen (36%) oder einen gewissen Einfluss (39%) auf die IT-Sicherheitstaktiken und -strategien haben.
   
• Die Anerkennung der Sicherheit als Geschäftspriorität ist reaktiv - Sechzig Prozent der Befragten glauben, dass ihr Unternehmen die Sicherheit als Geschäftspriorität ansieht, aber nur 51 % geben an, dass ihr Unternehmen eine IT-Sicherheitsstrategie hat, und von diesen geben nur 43 % an, dass diese Strategie von anderen Führungskräften geprüft, genehmigt und unterstützt wird. Die Ergebnisse deuten darauf hin, dass Veränderungen in den Sicherheitsprogrammen weitgehend reaktiv sind, wobei wesentliche Datenschutzverletzungen (45 %) und Cybersecurity-Exploits (43 %) die beiden wichtigsten Ereignisse sind, die von anderen Führungskräften beachtet werden.
   
• Krisen treiben die Einflussnahme auf die Führungsebene voran - 65 Prozent der Befragten geben an, dass CISOs direkt mit der Führungsebene kommunizieren, aber selten handelt es sich um strategische Diskussionen über alle Bedrohungen für das Unternehmen. Die Befragten räumten auch ein, dass die Kommunikation mit der Geschäftsleitung im Zusammenhang mit Sicherheitsereignissen begrenzt ist. 46 % gaben an, dass nur wesentliche Datenschutzverletzungen und Cyberangriffe an den CEO und den Vorstand gemeldet werden, während nur 19 % alle Datenschutzverletzungen an diese Gruppe melden.
   
• KI ist eine potenzielle Lösung für den Personalbedarf - Der Talentmangel in der IT-Sicherheit ist für CISOs nach wie vor ein großes Problem. Die durchschnittliche Anzahl der IT-Sicherheitsmitarbeiter wird in den nächsten zwei Jahren von 19 auf 32 Vollzeitbeschäftigte (oder Äquivalente) steigen, wobei fast die Hälfte (42 %) der Meinung ist, dass ihre derzeitige Personalausstattung nicht ausreicht. Achtundfünfzig Prozent geben an, dass sie Schwierigkeiten haben, qualifiziertes Sicherheitspersonal einzustellen, wobei die größten Herausforderungen darin bestehen, qualifizierte Kandidaten zu finden und zu rekrutieren (56 %) und ein marktgerechtes Gehalt anbieten zu können (48 %). Die Hälfte der Befragten (50 %) glaubt, dass Computer Learning und künstliche Intelligenz den Personalmangel beheben können, und 70 % glauben, dass diese Technologien in zwei Jahren für ihre IT-Sicherheitsfunktionen wichtig sein werden.
   

Über F5

F5 (NASDAQ: FFIV) sorgt dafür, dass Apps für die weltweit größten Unternehmen, Dienstanbieter, Regierungen und Verbrauchermarken schneller, intelligenter und sicherer werden. F5 liefert Cloud- und Sicherheitslösungen, die es Unternehmen ermöglichen, die Anwendungsinfrastruktur ihrer Wahl zu nutzen, ohne dabei auf Geschwindigkeit und Kontrolle verzichten zu müssen. Weitere Informationen finden Sie unter f5.com. Sie können @f5networks auch auf Twitter folgen oder uns auf LinkedIn und Facebook besuchen, um weitere Informationen zu F5, seinen Partnern und Technologien zu erhalten.

F5 ist eine Marke oder Dienstleistungsmarke von F5 Networks, Inc. in den USA und anderen Ländern. Alle anderen hierin genannten Produkt- und Firmennamen können Marken ihrer jeweiligen Eigentümer sein.

# # #

Diese Pressemitteilung kann zukunftsbezogene Aussagen zu zukünftigen Ereignissen oder zur zukünftigen finanziellen Entwicklung enthalten, die mit Risiken und Unsicherheiten verbunden sind. Derartige Aussagen sind an Begriffen wie „kann“, „wird“, „sollte“, „erwartet“, „plant“, „nimmt an“, „glaubt“, „schätzt“, „sagt voraus“, „potenziell“ oder „fortsetzen“ bzw. der Verneinung dieser Begriffe oder vergleichbarer Begriffe zu erkennen. Bei diesen Aussagen handelt es sich lediglich um Vorhersagen. Die tatsächlichen Ergebnisse können aufgrund einer Reihe von Faktoren, einschließlich der in den Unterlagen des Unternehmens bei der SEC genannten, erheblich von den in diesen Aussagen erwarteten Ergebnissen abweichen.