IT-Sicherheit in Zeiten des Fachkräftemangels: So schützen Sie Ihr Unternehmen - Teil III

Im zweiten Teil unserer Serie zu IT-Sicherheit in Unternehmen haben wir aufgezeigt, wie einfach Hacker Sicherheitslücken ausnutzen können und wie der Fachkräftemangel in Unternehmen dazu beiträgt.

Im dritten Teil zeigen wir auf, wie eine gelungene Resourcing Strategie dem entgegenwirken kann.

 

IT Security Schloss Festplatte

Verantwortlichkeiten klären

In der Frage, wer innerhalb eines Unternehmens für Datensicherheit verantwortlich ist und wem der Chief Information Security Officer (CISO) unterstellt sein sollte, besteht weithin Uneinigkeit. Sollte es der CEO sein, der CIO, der CFO, der CRO, und sollte der Chief Information Security Officer direkt dem Vorstand unterstellt sein? Angesichts der aktuellen Bedrohungslage stellen viele Unternehmen fest, dass sich innerhalb der Führungsriege niemand um diese Verantwortung reißt – trotz der Tatsache, dass Sicherheitsgefahren ein Risiko für die gesamte Führungsriege darstellen.

Für ein effizientes Management bedarf es einer systematischen Kommunikation im gesamten Unternehmen. Laut dem Sonderbericht des New York Stock Exchange (NYSE) für 2015, „Managing Cyber Risk: Are Companies Safeguarding Their Assets?“4 räumten 42 % der Vorstandsmitglieder ein, dass sie das Thema Cyber- und IT-Sicherheit nur gelegentlich besprechen. Was die Priorisierung der Gewinnung von Sicherheitsexperten anbelangt, hat die Experis-Studie Differenzen zwischen funktionalen Führungskräften und Chief Information Officers (CIOs) festgestellt: Bei 45 % der Vizepräsidenten steht das Thema Informationssicherheit ganz oben auf der Prioritätenliste; im Vergleich dazu gaben dies nur 28 % der CIOs an.

  • 42 % der Vorstandsmitglieder besprechen Cyber- und IT-Sicherheit nur gelegentlich 
  • 45 % VPs und 28 % CIOs setzen Informationssicherheit ganz oben auf ihre Prioritätenliste

4 Managing Cyber Risk: Are Companies Safeguarding their Assets – https://www.nyse.com/publicdocs/nyse/listing/NYSE_Governance_Services_ Managing_Cyber_Risk.pdf

 

Ungleichgewicht in der Personalzusammensetzung

Viele Unternehmen tun sich schwer damit, ausreichende Sicherheitsvorkehrungen umzusetzen, da es ihnen an qualifizierten Mitarbeitern oder einer Sicherheitsstrategie fehlt, und dies gilt insbesondere für Informationssicherheits-Management. Unternehmen bedienen sich verschiedener HR-Modelle und HR-Strategien:

 

  • interne Mitarbeiter
  • Personalaufstockung durch zeitlich befristete Mitarbeiter
  • vollständiges Outsourcing von umfassenden Sicherheitsaufgaben an einen Full-Service-Anbieter im Bereich der IT-Sicherheit
  • aufgabenspezifische Zusammenarbeit mit externen Partnern
  • projektbasierte Lösungen

 

Aus der Experis-Studie geht hervor, dass die Mehrheit der Arbeitgeber auf eine einzelne Resourcing-Strategie setzt, obwohl sich dies negativ auf die Mitarbeitereffizienz auswirken kann1. Die Ergebnisse zeigen, dass 52 % der Arbeitgeber ausschließlich fest angestellte Mitarbeiter beauftragen. 

Dieses Modell mindert die Fähigkeit des Unternehmens, sich schnell entwickelnde Technologien zu integrieren oder auf neu entstehende Bedrohungen zu reagieren. 15 % der befragten Arbeitgeber setzen ausschließlich auf externe Anbieter. Ein Resourcing-Modell, das primär auf Drittanbieter zurückgreift und sich deren Expertise im Bereich der Sicherheitsfunktionen und Sicherheitsstrategien zunutze macht, kann eine effiziente Methode zur Sicherung eines flexiblen Arbeitskräfte-Pools sein. Allerdings stellen sich auch bei diesem Modell gewisse Herausforderungen: Je nach verfügbaren Qualifikationen können zusätzliche Schulungen erforderlich sein, damit sichergestellt ist, dass die externen Partner wirklich in der Lage sind, das Unternehmen und dessen spezifische Technologien effektiv zu unterstützen. 

Bei Unternehmen, die diesen Ansatz verfolgen, kann es sein, dass die interne Expertise in Sicherheitsfragen und das Bewusstsein der Mitarbeiter für Bedrohungen nach und nach verloren geht, da Mitarbeiter keinen direkten Kontakt mehr mit der operativen IT-Umgebung haben. Dies beeinflusst ihre Fähigkeiten, innerhalb des Unternehmens eine umfassend qualifizierte Belegschaft aufzubauen, die auch langfristigen Zielen gerecht wird.

Die Experis-Studie zeigt, dass nur 33 % der Unternehmen bei der Sicherung von IT-Sicherheitsexperten eine ausgewogene, optimale Kombination der verschiedenen Modelle nutzt. Ein ausgewogener Resourcing-Ansatz hilft nicht nur zügig auf Engpässe zu reagieren, sondern schärft auch den Blick für Fachkräfte, die ihr Qualifikationsprofil erweitern möchten oder Führungsqualitäten besitzen. Auf lange Sicht lässt sich dadurch ein stabiler interner Fachkräfte-Pool mit qualifizierten IT-Sicherheitsexperten aufbauen. 

 

  • 52% beauftragen nur fest angestellte Mitarbeiter
  • 15% beauftragen nur externe Partner/Freiberufler
  • 33% kombinieren beide Modelle