Der erste globale Symantec IT Risk Management Report zeigt, dass 60% einen größeren IT-Störfall mit heiklen Folgen für die Geschäftsprozesse innerhalb eines Jahres erwarten. Der Report basiert auf einer Umfrage bei den IT-Verantwortlichen von 538 Unternehmen aus 37 Industrie-Segmenten. Er wurde mit dem Ziel, Unternehmen, die sich intensiver mit IT-Risiken beschäftigen möchten, bei diesem Anliegen zu unterstützen und anzuleiten, verfasst. Es zeigte sich nämlich im Lauf der Umfrage, dass IT-Riskmanagement häufig vernachlässigt wird.

Datenverlust durch mangelnde Sicherheit in IT befürchtet
Der größte Teil der Befragten teilt die Befürchtung, dass ihre Geschäftstätigkeiten in großem Maße durch sicherheitsrelevante Ereignisse oder Verstöße gegen Compliance-Richtlinien beeinflusst werden könnten. 66% der Befragten rechnen damit, mindestens einmal in fünf Jahren massiv gegen Richtlinien zu verstoßen. Außerdem befürchten 58%, dass es mindestens alle fünf Jahre zu größeren Datenverlusten kommt, weil es zu Ausfällen im Rechenzentrum, Datenmanipulation oder Lücken im Sicherheitssystem kommt.

Stärken liegen im Technologie-Management
Was die meisten Unternehmen übersehen ist, dass man für ein effektives IT-Riskmanagement sowohl in Prozess- als auch in Technologiesteuerung investieren muss. Die Unternehmen sehen sich in der Technologiesteuerung zumeist stärker. So betrachten 68% der Befragten Authentifizierungs-, Autorisierungs- und Zugangsmanagement als dem effektivsten Module des Prozessmanagements. Dafür werden die Identifizierung, Klassifizierung und Verwaltung im Rahmen der IT-Infrastruktur vernachlässigt. Es ist allerdings zu beachten, dass dies notwendig ist, um das IT-Risiko in den geschäftsrelevanten Prozessen so gering wie möglich zu halten. Hier gaben nur 38% der Befragten an, in diesem Bereich bereits sehr effizient vorzugehen.

Schwache Umsetzung von IT-Risikostrategien
Die Studie hat vor allem einen Grund herausgefunden, warum IT-Risikostrategien nur schwach umgesetzt werden. Es liegt daran, dass das Risikopotenzial unterschiedlich eingeschätzt wird, sogar innerhalb der IT-Abteilungen. So kommt es oft zu unterschiedlichen Einschätzungen bei CIOs und IT-Leitern. Tatsache ist, dass hierin ein Risiko für die Geschäftsprozesse begründet liegt. Denn im Endeffekt kommt es zu Mängeln im gezielten Einsatz von Steuerungsprozessen, in der Nutzung von Ressourcen und im effektiven IT-Risikomanagement.

Wege zur erfolgreichen Implementierung einer IT-Risikostrategie
Der jetzt vorliegende IT Risk Management Report aus dem Softwarehaus Symantec erklärt die Implementierung einer erfolgreichen IT-Risikostrategie im Unternehmen. Zu den fünf Schritten gehören unter anderen die Entwicklung eines einheitlichen Ansatzes, die Priorisierung und Quantifizierung des Risikopotenzials und die fortdauernde Messung der Effektivität.

Zu Wenige greifen auf den richtigen Strategieansatz beim IT-Risiko zurück
Nur ein Viertel der Unternehmen nutzen diesen Ansatz für sich und haben Steuerungs- und Messmethoden, nicht nur für Technologie, sondern auch für Prozesse. Sie müssen zwar mit mehrschichtigen Risiko-Ebenen fertig werden, vermelden aber auch weniger IT-Störfälle. Es zeigt sich also, dass ein ganzheitlicher Steuerungsansatz die Effektivität der IT steigert und gleichzeitig eine Reduzierung im Risikopotenzial bewirkt.

Fazit:
Die Ergebnisse des Reports zeigen, dass die meisten Unternehmen nur unzureichend über IT-Risikomanagementstrategien verfügen. Aus diesem Grund befürchten diese Unternehmen auch Ausfälle der IT. Im Vordergrund beim IT-Risikomanagement steht bei den meisten Unternehmen das Technologiemanagement und nicht das Prozessmanagement, wie es notwendig wäre. Wenn IT-Risikostrategien umgesetzt werden, so geschieht dies meistens nur schwach, weil die Einschätzungen in den IT-Abteilungen in Bezug auf das Risikopotenzial stark differieren. Dies birgt Gefahren für die Geschäftsprozesse. Das Ziel des IT Risk Management Reports besteht darin, Unternehmen bei der Implementierung einer erfolgreichen IT-Risikostrategie anzuleiten und zu unterstützen. Die Unternehmen, die den Ansatz des Reports nutzen, haben zwar vielschichtigere Risiko-Ebenen, aber auch weniger IT-Störfälle. Ein ganzheitlicher Steuerungsansatz bewirkt eine Steigerung in der Effektivität de IT und eine Reduzierung des Risikopotenzials.