ISPIN Security Report 2010 – die helvetische Sicht auf Sicherheit

Der ISPIN Security Report 2010 ermittelt nicht nur neue und interessante Ergebnisse im Bereich Informationssicherheit – vor allem ist es seit 2006 die erste und einzige Studie, die speziell auf Sicherheitsverhalten und -trends von Schweizer Unternehmen schaut, die sonst nur rudimentär in weltweite Studien miteinbezogen werden.

Darin sieht der Schweizer Sicherheitsdienstleister ISPIN AG ZURICH bestätigt, dass dieses Projekt ein überreifer Schritt in Richtung einer definierbaren und mit Fakten belegbaren Schweizer Sicherheitskultur ist. Auf der Basis von Ergebnissen aus internationalen Studien wird ein Vergleich angestellt. „Wir wollen erfahren, wo die Schweiz in puncto Sicherheit steht“, so Marco Marchesi, Geschäftsführer und Gründer ISPIN AG ZURICH.

Kernaussagen des ISPIN Security Report 2010 sind:

• Der Faktor Mensch gewinnt immer mehr an Brisanz, wird aber bei Betrachtung, Planung und Durchführung von Security-Massnahmen oft vernachlässigt und nimmt selbst in der Beachtung von Experten erst langsam Fahrt auf – dies allerdings mit nachhaltiger und steter Beschleunigung.

• Der Mitarbeitende im Unternehmen wird aus Sicht der Befragten – also  Sicherheitsbeauftragte, CISOs und CIOs – als Sicherheitsrisiko wahrgenommen.

Einzigartig in der Studie dürften die überdurchschnittlich häufigen Aufforderungen an die Befragten zur Einschätzung ihrer persönlichen Situation in Kombination mit Freitextantworten sein. So ist eine hohe Aktualität sowie Praxistauglichkeit gewährleistet, bei der auch das „Bauchgefühl“ der Sicherheitsbeauftragten, CISOs und CIOs in die Ergebnisse einfliessen konnte. Aus diesem Grund steht eben nicht nur die Unternehmensstrategie im Mittelpunkt der Betrachtung, sondern tatsächlich auch der Befragte und seine Situation selbst. Ihm wird ausreichend Platz eingeräumt, sich unabhängig von der Unternehmensführung zu äussern und eine eigene, persönliche Einschätzung der jeweiligen Situation und der erforderlichen Massnahmen mitzuteilen. „Der CISO sagt auch mal die unbequemen Dinge“, weiss Marco Marchesi treffend aus seiner langjährigen Praxis zu berichten.

Begriffen fehlt die Transparenz

Zu den Key Results gehört aber auch, dass eindeutige Begriffsdefinitionen im Sicherheitsbereich eine grosse Problematik darstellen. Begriffen wie ‚Datenschutz‘, ‚Risiko‘, ‚SIEM‘ oder ‚ISMS‘ fehlt es in der Kommunikation von Sicherheitsbeauftragten an Transparenz, Verständlichkeit, Eindeutigkeit und Prägnanz. Die Bedeutung der Fachtermini wird oftmals divers interpretiert mit der Folge, dass darunter Qualität und Effizienz leiden. Es wird also nicht immer mit einer (Sicherheits-)Stimme gesprochen.

Ob Security-Wording oder menschlicher Faktor – über die Studie erhält der Leser nicht nur nützliche Informationen hinsichtlich einer leistungsfähigen und nachhaltigen Informationssicherheit. Der ISPIN Security Report 2010 bietet auch eine ganz neue Sichtweise, die interessante Rückschlüsse zur Aktualisierung und auch zur Optimierung der eigenen Unternehmenssicherheit ermöglicht.

Der Report wird zukünftig im jährlichen Rhythmus erscheinen, um neben einem IST-Zustand auch die Entwicklung der Informationssicherheit in Schweizer Unternehmen im Kontext zu internationalen Studien zu dokumentieren und lässt somit auch Positionierungen und branchenbezogene Benchmarks zu.

Der ISPIN Security Report 2010 umfasst 54 Seiten mit insgesamt 34 Infografiken. Er kostet CHF 880 und kann via www.ispin.ch/de/publikationen/ispin-security-report.html oder securityreport@ispin.ch als Printversion bestellt werden.