Handlungsbedarf in der IT-Sicherheit – Chancen durch Outsourcing
CIOs und IT-Leiter in Unternehmen weltweit kämpfen täglich dafür, die eigene IT vor Fremdzugriffen zu schützen. Gleichzeitig müssen sie intern um materielle und personelle Ressourcen ringen, um auch für zukünftige Gefährdungslagen gewappnet zu sein. International bildet sich genau dieser Trend auch in den jeweiligen IT-Budgets der Unternehmen ab. Die Industrie-4.0 Studie von DXC.technology aus dem vergangenen Jahr zeigt, dass schweizerische Unternehmen eine Erhöhung des IT-Budgets gegenüber dem Vorjahr in 60% aller Fälle für notwendig halten, um den Geschäftserfolg zu sichern.
Darüber hinaus zeigt eine weitere globale Umfrage von DXC.technology „What makes digital leaders – A full C-suite perspective“, wo die Prioritäten in Bezug auf Technologien für die Digitalisierung auf Unternehmensebene wirklich liegen. Neben modernen Endgeräten werden vor allem Cloud Technologien für besonders relevant gehalten. Cybersecurity Tools findet man lediglich auf Platz elf von zwölf möglichen Antworten. Diese Umfrage besagt ebenfalls, dass bei Industry-Leadern der CEO als treibende Kraft hinter der IT-Strategie steht. Hier zeigt sich ein grosser Unterschied zwischen geschäftlichem Erfolg heute und Digital Leadership der Zukunft.
Eine vernünftige Möglichkeit stellt dabei das Outsourcen von Teilen der IT-Sichherheit dar, um das Gefüge aus Kosten und Performance zu optimieren. Dabei gibt es Aufgaben, die sich besonders gut auslagern lassen. Das Vertrauen gegenüber dem jeweiligen Dienstleister ist dabei eine elementare Voraussetzung. Aus unserer Sicht kommen unter anderem die folgenden zwei Aufgaben in Frage:
Managed Security
Security Provider verfügen häufig über die Infrastruktur, sämtliche Sicherheitsleistungen aus einer Hand anzubieten. Darüber hinaus ist in Verbindung mit der Infrastruktur auch das spezifische Prozess Know-how vorhanden, um die IT-Sicherheit von Unternehmen nachhaltig zu verbessern. Das Security Management nach dem ITIL Design sorgt dafür, dass mit Hilfe von regelmässgiem Monitoring, der Bearbeitung von Incidents sowie regelmässige Reviews die IT-Sicherheit kontinuierlich verbessert wird. Die externe Rolle des Dienstleisters hat darüber hinaus den Vorteil, dass Vorfälle und erkannte Lücken objektiv behandelt und den entsprechend verantwortlichen Stellen seitens Kunden aufgezeigt werden.
Security-Audits
Wie in jeder Abteilung eines Unternehmens ist auch in der IT-Abteilung Betriebsblindheit eine unterschwellige Gefahr. Während sie in anderen Abteilungen zu Qualitätseinbussen führen, ist das Schadpotenzial in Bezug auf IT-Sicherheit deutlich höher. Mit Hilfe eines externen Security Audits kann ein grosser Anteil des Aufwandes an einen Dienstleister vergeben und die Sicherheit durch einen unvoreingenommenen Blick von aussen erhöht werden. Daraus ergeben sich wiederum priorisierte Massnahmen, die intern geplant und umgesetzt werden sollten. Das ist kostenintensiv und kann je nach Risikobewertung schnelle Reaktionszeiten erfordern. Wir empfehlen, das Management bereits vor dem Security Audit für die Kostenintensität von möglichen resultierenden Massnahmen zu sensibilisieren, denn die nachfolgenden Massnahmen sind häufig mit nicht zu unterschätzenden finanziellen Aufwendungen verbunden.
Neben diesen beiden Aufgaben haben auch das Training, Incident Response oder Third Party Assessments das Potenzial, durch Outsourcing im Rahmen von kleineren Budgets bessere Performances der eigenen IT zu erreichen. Fakt ist und bleibt – die IT-Sicherheit muss durch das ganze Unternehmen bis in die Spitze anerkannt und gelebt werden, um langfristig erfolgreich zu sein. Das ist vor allem mit souveränen Entscheidungen der Geschäftsführungsebene und umfangreichen Investitionen verbunden, sichert aber den zukünftigen Geschäftserfolg sowie das Vertrauen der Kunden in die eigenen Dienstleistungen. Auch wir von arcade bieten unseren Kunden Full-Managed-IT-Outsourcing und sind in der Lage, Unternehmen mit hohen sicherheitstechnischen Anforderungen von unseren Dienstleistungen zu überzeugen.
Mehr dazu hier.