Risiko-Management bedeutet, Unternehmensrisiken systematisch zu identifizieren, zu analysieren, zu bewerten und zu überwachen. Damit es an den Geschäftszielen ausgerichtet ist und schnell auf Veränderungen reagieren kann, sollten entsprechende Analysen im IT-Bereich nach Ansicht der Experton Group von einem dedizierten Sicherheitsverantwortlichen initiiert werden. In fast zwei Dritteln der Firmen gibt allerdings der IT-Verantwortliche beziehungsweise der CIO den Anstoß, wie eine Umfrage zeigt. Nur Unternehmen mit mindestens 500 Mitarbeitern greifen hierfür häufiger auf einen CISO (Chief Information Security Officer) oder (Chief) Risk Manager zurück. (sp)