Rund ein Drittel aller IT-Sicherheitsteams spricht nie mit den Leitern der jeweiligen Unternehmen über Cybersicherheit. Vom Rest sprechen 23 Prozent lediglich einmal pro Jahr mit den Chefs. Dies geht aus einem Bericht des Ponemon Instituts hervor.

Jeff Debrosse von Websense sieht das als ein ernstzunehmendes Problem. Der Mangel an Kommunikation und Sicherheitsbewusstsein kann das Risiko eines Unternehmens signifikant steigern, Opfer einer Attacke zu werden.

Er sagt voraus, dass

„31 Prozent der Teams, die keinen Austausch mit ihren Vorsitzenden haben, sich irgendwann auf den Titelseiten von Zeitschriften sehen werden. Grund: Sie haben es verpasst, über Bedrohungen durch Insider, APTs usw. zu sprechen.“

Auch wenn sie nicht mit dem höheren Management sprechen, denken die Sicherheitsteams doch ständig über die Bedrohungen nach. Dies könnte in gewisser Weise sogar zu dem Mangel an Kommunikation beitragen. Ein hoch ausgelasteter Mitarbeiter wird selten die Zeit finden, einen Bericht zu erstellen und zu präsentieren. Dies ist allerdings Debrosse zufolge genau das, was getan werden muss. Denn so geht der Vorstand eventuell davon aus, dass alles bestens läuft und funktioniert, während für die IT-Sicherheit womöglich zusätzliche Ressourcen benötigt werden.

IT-Teams müssen

„darauf bestehen und zeigen, weshalb Sicherheit ein essentieller Bestandteil der Vorstandsmeetings sein sollte“,

so Debrosse. Dies kann auch in Form einer schnellen To-Do-Liste oder eines Statements, dass sich nichts verändert hat, geschehen. Das Wichtige ist, dass das IT-Sicherheitsteam Präsenz zeigt und sich vom restlichen IT-Team unterscheidet.

Debrosse empfiehlt, Modelle von Cyberbedrohungen zu nutzen. Das NIST „Risk Management Framework“ zum Beispiel zeigt detailliert die Kosten der Risiken und Lösungen, um Budgetanfragen zu unterstützen.

Für den Bericht wurden insgesamt 160.000 IT-Sicherheitsexperten in 15 Ländern befragt. 47 Prozent der Befragten äußerten Enttäuschung über die Sicherheitslevel, die ihre unternehmensspezifischen Lösungen bieten. 52 Prozent der Unternehmen bieten ihren Mitarbeitern keine Schulungen für IT-Sicherheit an. Die Mehrheit der Befragten arbeitet im Finanzsektor.

Artikel von scmagazine.com, 17.07.2014: Report: 31 percent of IT security teams don’t speak to company execs