Governance of Cybersecurity Report 2015

Downloads

Neue Cybersecurity-Governance-Studie mit Palo Alto Networks zeigt:

Cyber-Risiken werden zu immer wichtigerem Thema in den Vorstandsetagen

Geografische und branchenspezifische Ergebnisse unterstreichen, dass Cybersicherheit ernstgenommen wird rund um den Globus

Risikomanagement für die Cybersicherheit erlangte in letzter Zeit eine deutlich gestiegene Aufmerksamkeit bei Vorständen und Führungskräften. Zu diesem Ergebnis kommt eine neue weltweite Studie, der Governance of Cybersecurity: 2015 Report, konzipiert vom Georgia Tech Information Security Center (GTISC) entwickelt und unterstützt von Forbes, dem Financial Services Roundtable (FSR) und Palo Alto Networks.

Im Rahmen der Umfrage wurden Vorstandsmitglieder und Führungskräfte von Forbes Global 2000-Unternehmen befragt. Die Studie vergleicht Umfrageergebnisse von drei früheren Erhebungen, die im Jahr 2008, 2010 und 2012 durchgeführt wurden.

Cyber-Governance immer höher auf der Prioritätenliste

Die Ergebnisse der Umfrage zeigen seit 2008 gemeinsame Anstrengungen von Vorstandsmitgliedern und Führungskräften, um Cyber-Risiken zu begegnen, auf. Die wichtigsten Ergebnisse der Studie von 2015, auch im Vergleich mit früheren Umfrageergebnissen, sind:

Cybersicherheit hat an Bedeutung gewonnen und ist zu einem Top-Thema in der Vorstandssitzung avanciert. So befassen sich fast zwei Drittel (63 Prozent) der Befragten aktiv mit Computer- und Informationssicherheit, gegenüber 33 Prozent im Jahr 2012.

Viele Vorstände – 53 Prozent gegenüber 8 Prozent im Jahr 2008 – haben ein Risikokomitee eingerichtet, getrennt vom Prüfungsausschuss. Dieses hat die Verantwortung für die Aufsicht über Cyberrisiken vom Prüfungsausschuss übernommen.

Vorstandsmitglieder schenken dem Cyber-Versicherungsschutz heute viel mehr Aufmerksamkeit. So gaben 48 Prozent der Befragten an, der Vorstand würde sich mit dem Thema Cyber-Versicherung befassen, gegenüber 28 Prozent im Jahr 2012.

Die Vorstände räumen auch Erfahrungen in Sachen Risikomanagement und Sicherheit bei der Rekrutierung neuer Vorstandsmitglieder eine größere Bedeutung ein. 59 Prozent der Befragten gaben an, ihr Vorstand habe ein Mitglied mit Risikoexpertise im Team und bei fast einem Viertel (23 Prozent) sei ein Vorstandsmitglied mit Cyber-Know-how an Bord.

„Mehr Unternehmen als je zuvor, auch in der Finanzdienstleistungsbranche, betrachten Cyberbedrohungen als ein großes Problem auf Führungsebene und leiten wichtige Schritte ein, um ihre Kunden und ihr Unternehmen zu schützen“, erklärte Tim Pawlenty, President und CEO des FSR.

„Der Governance of Cybersecurity Report 2015 zeigt eine grundlegende Veränderung der Aufmerksamkeit für Cyberthemen gegenüber den Erhebungen in den Jahren 2008, 2010 und 2012“, kommentierte Jody Westby, Autor dieser Umfragereihe und CEO der Global Cyber ​​Risk LLC sowie außerordentlicher Professor am Georgia Institute of Technology. „Dieser Bericht zeigt, dass Vorstandsmitglieder und Führungskräfte zum ersten Mal verstehen, dass sie eine Fürsorgepflicht haben, um die digitalen Ressourcen ihres Unternehmens zu schützen. Hierfür müssen sie Cyber-Risiken mehr als nur oberflächliche Aufmerksamkeit schenken. Dies ist eine willkommene Veränderung, die dazu beitragen wird, Aktionäre und Kunden zu schützen.“

Die Fakten im Überblick
Wichtigste Ergebnisse der Studie „Governance of Cybersecurity“ 2015

Risikomanagement für die Cybersicherheit erlangte in letzter Zeit eine deutlich gestiegene Aufmerksamkeit bei Vorständen und Führungskräften. Zu diesem Ergebnis kommt die neue weltweite Studie, „Governance of Cybersecurity“ des Georgia Tech Information Security Center (GTISC), unterstützt von Forbes, dem Financial Services Roundtable (FSR) und Palo Alto Networks. Die Studie vergleicht Umfrageergebnisse von drei früheren Erhebungen, die im Jahr 2008, 2010 und 2012 durchgeführt wurden.

Im Rahmen der Umfrage wurden Vorstandsmitglieder und Führungskräfte von Forbes Global 2000-Unternehmen befragt.

Die wichtigsten Ergebnisse:

1) Bei den Forbes „Global 2000“-Unternehmen beschäftigten sich immer mehr Vorstände mit dem Management von Cybersicherheitsrisiken.

  • Cybersicherheit hat an Bedeutung gewonnen und ist zu einem Top-Thema in der Vorstandssitzung avanciert. So befassen sich fast zwei Drittel (63 Prozent) der Befragten aktiv mit Computer- und Informationssicherheit, gegenüber 33 Prozent im Jahr 2012.

2) Die Unternehmen haben deutliche Verbesserungen erzielt bei der Erlangung und Aufrechterhaltung einer zentralen Rolle verantwortlich für Cybersicherheit.

  • Unternehmen, die Chief Information Security Officers (CISO) oder Chief Security Officers (CSO) beschäftigen, haben gegenüber 2008 um 40 Prozent zugenommen.
  • Entscheidungsträger auf Vorstandsebene widmen den höchsten Grad an Aufmerksamkeit bezüglich Cyber-Risiken im Zusammenhang mit Lieferantenbeziehungen. 93 Prozent der Befragten, gaben an, dass ihre Vorstände Risikobewertungen einsehen und 53 Prozent sagten, dass sie externe Experten engagieren, um sie in Risikofragen zu unterstützen.

3) Die Finanzdienstleistungsbranche ist eine der führenden Branchen, was die Verbesserung der Cybersicherheit und die Fokussierung auf dieses Thema angeht.

  • Alle Branchen verzeichnen eine stark zunehmende Fokussierung auf Cyberbedrohungen, einschließlich der Finanzdienstleistungsbranche, die beim Cybersicherheitsfokus um 35 Prozent zulegte im Vergleich zu 2012.
  • Der Anteil der Vorstände im Finanzsektor, die auf Cyber-Risiken bei der Überprüfung von Lieferantenbeziehungen achten, ist auf 64 Prozent angewachsen, gegenüber 38 Prozent im Jahr 2012.
  • Der Finanzsektor übertrumpft deutlich die anderen Branchen in diesem Aspekt: 86 Prozent der Befragten gaben dort an, dass ein Vorstands-Risikokomitee getrennt vom Prüfungsausschuss eingerichtet wurde.
  • Vorstände im Finanzsektor haben mehr Risiko-/Sicherheitskomitees im Einsatz  als jede andere Branche in den beiden Umfragen von 2012 und 2015.
  • Der Industriesektor greift auch auf externe Experten durch Risikokomitees zurück. Es gibt hier eine erhebliche Zunahme in jedem Sektor mit Ausnahme des Finanzsektors, der bereits zuvor führend in diesem Bereich war und bleibt – mit einer Quote von 35 Prozent.
  • Der Finanzsektor führt im Prozentsatz (88 Prozent) der angestellten CISOs, dicht gefolgt von IT/TK (86 Prozent). Der Finanzsektor ist der einzige Sektor, der zu 100 Prozent CROs im Einsatz hat, gefolgt von IT/TK mit 57 Prozent. Einen hohen Anteil von CPOs gibt es im IT/TK-Sektor (64 Prozent).

4) Der Bericht 2015 zeigt eine deutlichen Sprung in der Anzahl der Vorstände, die sich mit dem Thema Cyberversicherung befassen, was zeigt, dass Cyber-Risiken als Unternehmensrisiko angesehen werden.

  • Vorstandsmitglieder schenken dem Versicherungsschutz für Cyber-Risiken heute viel mehr Aufmerksamkeit. So gaben 48 Prozent der Befragten an, der Vorstand würde sich mit dem Thema Cyber-Versicherung befassen, gegenüber 28 Prozent im Jahr 2012.

5) Fast alle Vorstände sehen sich Risikobewertungen an und eine wachsende Zahl von ihnen zieht externe Experten heran, die die Risikobewertung und das Risikomanagement unterstützen sollen.

  • 93 Prozent der Befragten gaben an, dass sich ihre Vorstände Risikobewertungsberichte ansehen und 53 Prozent gaben an, dass sie externe Experten hinzuziehen, um das Unternehmen in Risikofragen zu unterstützen.
  • Höchste Aufmerksamkeit gilt Cyber-Risiken in Zusammenhang mit Lieferantenbeziehungen. Während 63 Prozent der Befragten angaben, dass ihr Vorstand regelmäßig oder jährlich ihr Sicherheitsprogramm überprüft, gaben nur 46 Prozent an, dass sie an einem Testszenario beteiligt waren.

6) Die Studie zeigt auch, dass zu den wichtigsten Herausforderungen für Unternehmen zählt, zu verstehen, wie sie am besten Menschen, Prozesse und Technologien einsetzen können.

  • Die Rolle der CISOs und CSOs ist oft noch getrennt in ihrer Berichterstattung und sie werden aus dem Überblick von ganz oben, auf Vorstandsebene, herausgehalten. 40 Prozent berichten an den CIO, 22 Prozent an den CEO und 8 Prozent an den CFO.
  • Während 63 Prozent der Befragten angaben, dass ihr Vorstand regelmäßig oder jährlich ihr Sicherheitsprogramm überprüft, gaben nur 46 Prozent an, dass sie an einem Testszenario beteiligt waren.

„Es ist schön, zu sehen, dass sich Führungskräfte deutlich intensiver für das Management von Cyber-Risiken engagieren. Ein angemessener Dialog zwischen den technischen Experten und den Führungskräften, die Ressourcen priorisieren können, ist unerlässlich, um ein Unternehmen effektiv zu schützen. Diese erhöhte Aufmerksamkeit muss jedoch gekoppelt werden mit geeigneten Maßnahmen und der richtigen Kombination von Mensch, Technik und Prozessen, um IT-Umgebungen abzusichern. Dies beginnt bei der Etablierung einer Präventionskultur gegenüber Sicherheitsverletzungen. Diese Studie liefert eine Grundlage für Unternehmen auf der ganzen Welt, um mehr Diskussionen darüber zu starten, wie dies zu erreichen ist“, erläuterte Ryan Gillis, Vice President of Cybersecurity Strategy and Global Policy bei Palo Alto Networks.

Sektor- und Geografie-Statistiken zeigen weltweite Verbesserungen

Die Studie von 2015 vergleicht die Umfrageergebnisse in Branchen mit kritischen Infrastrukturen und über geografische Regionen hinweg. Dabei wird deutlich, dass in allen Branchen die Aufmerksamkeit für Cyberprobleme in den Vorstandsetagen zugenommen hat.

Die wichtigsten Ergebnisse sind:

Der Finanzsektor übertrumpft deutlich die anderen Branchen. 86 Prozent der Befragten gaben dort an, dass ein Vorstands-Risikokomitee getrennt vom Prüfungsausschuss eingerichtet wurde, gefolgt von der IT-/TK-Branche mit 43 Prozent.

Nordamerikanische und europäische Vorstände widmen Cyber-Risiken heute deutlich mehr Aufmerksamkeit (85 Prozent bzw. 58 Prozent, gegenüber 40 Prozent und 19 Prozent), während es bei Unternehmen in Asien im Vergleich von 2015 zu 2012 keine Veränderung (38 Prozent) gab.

Die Bedeutung einer Cyber-Versicherung hat sich bei Vorständen in Nordamerika verdoppelt von 35 Prozent im Jahr 2012 auf 70 Prozent in diesem Jahr. Bei europäischen Vorständen gab es einen Anstieg um 26 Prozent, während die asiatischen Vorstände in dieser Frage nur auf eine Steigerung von 3 Prozent kommen.

Die meisten asiatischen Vorstände (98 Prozent) haben ein Risikokomitee, aber nur 43 Prozent der europäischen und 42 Prozent der nordamerikanischen Vorstände.

Der industrielle Sektor und der Finanzsektor zeigten die größte Zunahme bei der Aufmerksamkeit für Cyberprobleme. In allen Sektoren zeigten sich deutliche Verbesserungen hinsichtlich der Beteiligung an Best-Practice-Aktivitäten im Zusammenhang mit Cyber-Risiken.

Enorme Fortschritte, aber immer noch Raum für Verbesserungen

Es gibt immer noch Raum für Verbesserungen, wie die Studie zeigt. Wichtige Herausforderungen in einigen kritischen Bereichen bleiben:

Es ist immer noch üblich für CISOs an CIOs zu berichten (40 Prozent tun dies), auch wenn die Berichtsstruktur eine Trennung der Themen ermöglichen würde.

Während 63 Prozent der Befragten angaben, dass ihr Vorstand regelmäßig oder jährlich ihr Sicherheitsprogramm überprüft, gaben nur 46 Prozent an, dass sie planmäßig an einem Testszenario beteiligt waren.

Die Vorstände müssen sicherstellen, dass die Sicherheitsteams ihres Unternehmens auf die erforderlichen Ressourcen zurückgreifen können, um ihre digitalen Vermögenswerte zu schützen. Nur 50 Prozent der befragten Vorstände bewerten Sicherheitsbudgets.

Eine vollständige Version des GTISC Governance of Cybersecurity: 2015 Report finden sie unter:

http://www.paloaltonetworks.com/resources/techbriefs/governance-of-cybersecurity.html