Ungeachtet des hohen Stellenwerts des Risikomanagements setzt weniger als ein Drittel der Führungskräfte in den Geldinstituten auf ein integriertes Sicherheitskonzept
RSA Conference 2007/London, 22. Oktober 2007 - RSA, The Security Division of EMC (NYSE: EMC), legt die Resultate ihrer Studie zum Thema Information Risk Management in Europa vor. Die Untersuchung, die von der Firma Datamonitor bei europäischen Finanzdienstleistern durchgeführt wurde, ergab, dass Banken sehr wohl wissen, wie wichtig das Informationsmanagement auf strategischer Ebene ist. 75% der Befragten waren sich auch über die Vorteile im Klaren, die das Management von Informationen über ihren gesamten Lebenszyklus hat. In der Praxis jedoch ist oft unklar, wie diese Informationen am besten zu verwalten sind und welchen Risiken sie unterliegen.
Zielgruppe der Erhebung waren Führungskräfte für die Bereiche IT, Risk Management und Compliance sowie CEOs, COOs und CIOs von Finanzdienstlern in Deutschland, Großbritannien, Spanien, Italien und Benelux. Die Studie sollte Aufschluss darüber geben, wie Banken an das Thema Information Risk Management herangehen. Besonders in einem Klima, in dem praktisch wöchentlich neue Sicherheitsrisiken aufgedeckt werden und in dem die Anwendung höchster Datenschutz-Standards entscheidend für die Kundenbindung und den Ruf eines Unternehmens ist. Ein Ergebnis der Untersuchung ist, dass das Information Risk Management tatsächlich im Unternehmen an Bedeutung gewinnt. 67% der Befragten hielten es für wichtig, dieses Thema auf der Unternehmensebene anzugehen. Deutlich wurde in der Umfrage allerdings auch der schleppende Fortschritt auf dem Weg zu diesem Ziel. Nur 32% gaben an, den ersten Schritt in Sachen Information Risk Management getan und Datensilos beseitigt zu haben.
Ein ganzheitliches Konzept ist nötig
Die Befragten bezeichneten interne organisatorische Barrieren als das entscheidende Hindernis zur besseren Beherrschung von IT-Risiken. Wie die Studie außerdem ergab, wird das Risiko nicht als Bestandteil einer durchgängigen Gesamtstrategie angesehen. Beispielsweise gab die Hälfte aller Befragten zu, dass die Einhaltung einschlägiger Vorschriften nicht auf strategischer Ebene, sondern fallweise angegangen wird.
Zu dieser fragmentierten Vorgehensweise passt die relativ rückständige Meinung zur Informationssicherheit sowie der Art und Weise, wie diese Sicherheit erzielt werden kann. Nur 19% der Befragten war klar, dass eine Absicherung an den Außengrenzen nicht ausreicht, die Informationsbestände einer Bank zu schützen. Zwar richtet nahezu die Hälfte (47%) die Anstrengungen bereits darauf aus, die Informationen durch Sicherung der Außengrenzen zu schützen, doch nur 43% erkennen die Notwendigkeit, das Information Risk Management auch auf Daten auszudehnen, die sich außerhalb des eigenen Systems bei Partnern, Beratern und Subunternehmern befinden. Hieran wird eine ernste Diskrepanz zwischen Wunsch und Wirklichkeit deutlich.
Andrew Moloney, Director of Financial Services, EMEA bei RSA, kommentiert dazu: Die Mehrzahl der befragten Banken glaubt zu wissen, über welche Informationen sie verfügen, wo sich diese befinden, wie sie gespeichert werden und wie der Zugriff auf sie im Unternehmen erfolgt. Ihr Datensilo-Konzept hindert sie jedoch die Risiken genau zu bewerten, denen diese Informationen bei der Übertragung während ihres Lebenszyklus ausgesetzt sind. Informationen werden immer mobiler und kommen in unterschiedlichster Form vor als E-Mail, Anhang oder Datenbank. Ein auf die Außengrenzen beschränktes Sicherheitskonzept reicht folglich nicht mehr aus, um die Risiken, welche die Integrität von Informationen bedrohen, zu beherrschen. Speziell für Finanzinstitute, deren Geschäftserfolg von einem sicheren Informationsfluss sowie dem Management und dem Schutz der Informationen abhängt, darf die Zuständigkeit hierfür nicht mehr allein der IT-Abteilung auferlegt werden. Dieser Aspekt betrifft vielmehr das gesamte Unternehmen. Finanzinstitute sollten aufhören, Informationsrisiken in einer Art Vakuum zu betrachten, sondern sich diesem Thema auf konsolidierte und ganzheitliche Weise stellen. Informationen und das Informations-Management sollten der wichtigste Aspekt sein, in dem sich ein Finanzdienstleister von seinen Mitbewerbern unterscheidet.
Martha Bennett, Research Director, Financial Services bei Datamonitor, fügt hinzu: Informationssicherheit hat viel mit physischer Sicherheit gemeinsam. Ein Hausbesitzer kann noch so ausgefeilte Alarmanlagen installieren. Mit genügend krimineller Energie wird ein Einbrecher dennoch stets Wege finden, in das Gebäude einzusteigen. Ein gemeinschaftliches Informationssicherheits-Konzept kann eine wirksame Verteidigungslinie bilden, doch nach unserer Erhebung sind die Banken hinsichtlich der Informationssicherheit nach wie vor zu optimistisch. Den Finanzinstituten bleibt nichts anderes, als sich der Prozesse und der organisatorischen Silos anzunehmen, die sie daran hindern, die Risiken für die Informationssicherheit auf effektive Weise anzugehen und sich dem Thema Information Risk Management auf der Unternehmens-Ebene zu stellen.
Die RSA-Studie zum Thema Information Risk Management
Die Untersuchung wurde im Oktober 2007 durch das Marktforschungsunternehmen Datamonitor unter anderem bei CIOs, IT-Sicherheits-Verantwortlichen, Compliance-Leitern, leitenden Managern des IT und Risiko-Bereichs sowie COOs durchgeführt. Dabei wurden Deutschland, Großbritannien, Spanien, Italien und Benelux erfasst. Bei den befragten Finanzinstituten handelte es sich um Organisationen mit einem Anlagevermögen zwischen umgerechnet 20 und 250 Mrd. US-Dollar.
Die Information-Risk-Management-Lösung von RSA
Das Konzept von RSA ist darauf ausgerichtet, Finanzdienstleister die Implementierung eines lösungsorientierten Ansatzes für das Information Risk Management zu ermöglichen. Mit Technologien von RSA und EMC, neuen Serviceleistungen, Best Practices und ausgewählten strategischen Partnern unterstützt RSA die Organisationen beim Management von Compliance und Sicherheitsinformationen sowie der Absicherung des Fernzugriffs, des Zugangs zu Web-Applikationen und des unternehmensinternen und kundenseitigen Zugriffs auf Konteninformationen. Eine auf Lösungen von RSA und EMC basierende Information-Risk-Management-Strategie hilft Finanzinstituten, die folgenden entscheidenden Initiativen effektiver in Angriff zu nehmen:
Gewährleistung eines ununterbrochenen Geschäftsbetriebs
Unterstützung bei der Einhaltung von Vorschriften und der Unternehmensführung
Expansion in neue Märkte
Stärkung des Kundenvertrauens
Senkung der laufenden Kosten
Neue Serviceleistungen sind Bestandteil der Information-Risk-Management- Lösung von RSA:
Der Information Security Program Development Service unterstützt Unternehmen, ihre verschiedenen Initiativen zur Abwendung von Sicherheitsrisiken zu koordinieren und in eine Projekt-Roadmap einzubinden, die mithilft, die einschlägigen Vorschriften zu erfüllen. Zielgruppe dieses Service sind mittlere bis große Kunden, die bereits ein Verständnis für ihre Sicherheitslücken und Risiken entwickelt haben. Die Bestandsaufnahme der bestehenden Sicherheitslücken bzw. eine Durchsicht oder Konsolidierung der Ergebnisse früherer Bestandsaufnahmen sind unerlässich, um bei der Erarbeitung einer 18 bis 24-monatigen Roadmap zur Risikoabwendung zu helfen, mit der Vorschriften erfüllt oder andere geschäftliche Zielsetzungen erreicht werden sollen. Der Service gliedert die Maßnahmen zur Beseitigung von Sicherheitslücken nach ihrer Priorität, ordnet diese Aktivitäten bestimmten Absicherungs-Initiativen auf der Projektebene zu und bindet sie in ein Sicherheitsprogramm ein, das die Industriestandards mit den RSA-eigenen Best Practices zur Entwicklung von Sicherheitsprogrammen kombiniert.
Der Information Risk Assessment Service erfasst auf breiter Basis, wie eine Organisation in Sachen Informationssicherheit aufgestellt ist. Damit soll ein systematischer Überblick über die Fähigkeiten der jeweiligen Organisation geschaffen und ein Fahrplan für die Abwendung von Risiken ausgearbeitet werden. Der Service gründet auf einer Methodik mit erprobten Verfahrensweisen, die den Status in Bezug auf Unternehmensführung, Policies, Datenschutz, Authentifizierung, Zugriff und weitere Sicherheitskontrollen in der geschäftlichen und technischen Infrastruktur umfassen.
Kurprofil Datamonitor:
Die Firma Datamonitor hat sich als hochkarätiges Business-Information-Unternehmen auf branchenspezifische Analysen spezialisiert. Datamonitor hilft seinen Kunden, zu denen 5.000 der führenden Unternehmen der Welt gehören, bei der Bewältigung komplexer strategischer Probleme. Gestützt auf die proprietären Datenbestände und das reichhaltige Know-how von Datamonitor können den Klienten unvoreingenommene Gutachten und fundierte Prognosen für die sechs Industriesparten Automotive, Consumer, Energie, Finanzdienstleistungen, Gesundheitswesen und Technologie zur Verfügung gestellt werden. Neben der Firmenzentrale in London unterhält Datamonitor Niederlassungen in New York, Frankfurt, Hongkong, Shanghai, Sydney und Tokio.
Für eine vollständige Version der RSA-Risk-Management-Studie kontaktieren Sie bitte:
Martha Bennet Research Director, Financial Services bei Datamonitor
mbennet@datamonitor.com
Clare Buckmaster Analystin, Financial Services bei Datamonitor
cbuckmaster@datamonitor.com
Kurzprofil RSA:
RSA, The Security Division of EMC, ist ein führender Anbieter von Sicherheitslösungen, um Geschäftsprozesse zu beschleunigen und zu optimieren. RSA unterstützt weltweit operierende Unternehmen bei der Bewältigung ihrer anspruchsvollen und sensiblen Sicherheitsanforderungen. Der Sicherheitsansatz von RSA ist hier fokussiert auf die Informationen, um ihren Schutz und die Vertraulichkeit über die gesamte Lebensdauer zu gewährleisten unabhängig davon, wohin sie bewegt werden, wem sie zugänglich gemacht werden oder wie sie verwendet werden. RSA bietet führende Lösungen in den Bereichen Identitätssicherung und Zugriffskontrolle, Kryptographie und Schlüssel-Management, Compliance- und Security-Information-Management sowie Fraud Protection. Diese Lösungen schaffen Vertrauen bei Millionen Nutzern von digitalen Identitäten, bei ihren Transaktionen, die sie täglich ausführen, und bei den Daten, die erzeugt werden.
Mehr Informationen erfahren Sie unter www.RSA.com und www.EMC.com.
X