Digitale Transformation
2019 – das Jahr des CISO
Ein Argument für die Aufnahme des Chief Information Security Officer in den C-Level.
Der Chief Information Security Officer (CISO) hat die Rolle eines auf Sicherheit spezialisierten Mini Chief Information Officer (CIO) inne. Seine Aufgabe ist es, Compliance zu erreichen und Sicherheitsverstöße zu verhindern. In der Vergangenheit berichtete die Mehrheit der CISOs an den CIO – eine Vorgehensweise, die in Frage gestellt werden muss.
Der Unternehmenssicherheit messen Firmen immer größere Bedeutung zu. Cyberattacken gehören dabei zu den drei größten Bedrohungen für Unternehmen. Das bestätigten 81 Prozent der Investoren und Analysten der Global Investor Studie 2018 von PwC. Mehr als die Hälfte der Befragten gab an, dass Cyberangriffe sogar die größte Bedrohung seien. Mit dieser Einschätzung kommt nicht nur dem Thema Cybersecurity, sondern auch dem Chief Information Security Officer eine höhere Bedeutung zu. Der Großteil der Konzerne erkennt dabei, dass der Report des CISO und den CIO ein suboptimaler Ansatz ist und geändert werden muss.
Das Reporting an den CIO – ein Interessenskonflikt
CIO und CISO werden an unterschiedlichen Unternehmenszielen gemessen. Während der CISO sicherheitsorientiert agiert, steht der CIO unter Druck, Entscheidungen zu treffen, die vor allem die geschäftliche Agilität begünstigen. Der Faktor Sicherheit schränkt die Handlungsfreiheit im Unternehmen ein und beeinflusst immer auch die Implementierung beispielsweise neuer Softwarelösungen oder neuer vernetzter Produktionsmaschinen. So sähe ein CIO nur den positiven Nutzen für die Verarbeitung, während der CISO die Probleme der IT- und Personalsicherheit betrachtet.
An wen der CISO berichten sollte
Die Änderung der Berichtsstruktur des CISO ist entscheidend. Denn es geht nicht nur darum, Haftungs- und Compliance-Risiken zu minimieren. Vielmehr geht es darum, eine Cybersicherheitsstrategie für eine effektive Geschäftsstrategie zu entwickeln. Ohne den direkten Bericht vom CISO an den Vorstand oder CEO ist dies nicht möglich. Denn Vorstände und Geschäftsführer sind möglicherweise nicht einmal in der Lage, die richtigen Fragen zu stellen oder gar die richtigen Lösungen für Sicherheitsprobleme zu erkennen. Ein Bericht an den CIO reicht dafür nicht aus. Ein CISO ist zwar typischerweise ein Teil der IT-Abteilung, aber das ist nicht entscheidend dafür, an wen die Berichterstattung erfolgen sollte. Nur weil der CISO intensiv mit dem CIO zusammenarbeitet, bedeutet das nicht, dass der CISO ihm auch Bericht erstatten sollte.
(Cyber-)Sicherheit ist keine Nischenrolle
Onlinehandel ist heutzutage so allgegenwärtig, dass das Internet für viele Unternehmensorganisationen die primäre – wenn nicht gar einzige – Unternehmensplattform ist. In diesem Zusammenhang muss der Rolle des CISO eine präsentere Position in der Unternehmenshierarchie zukommen. Sie ist keine Nischenrolle der IT-Abteilung mehr. Stattdessen obliegt es dem CISO für mehr Aufklärung rund um das Thema Cybersecurity im Unternehmen zu sorgen. Dabei geht es vor allem um die Mitarbeiteraufklärung zu folgenden Punkten:
- Es gibt ständig Cyberangriffe – in der Regel automatisiert – jeden Tag und gegen jedes größere Unternehmen.
- Alle Unternehmen werden angegriffen, auch das eigene. Ein Unternehmen muss über das Wissen und die nötigen Tools verfügen, um die Auswirkungen sowohl während als auch nach einem Data Breach zu minimieren und darauf zu reagieren.
- Wie ein Unternehmen seine Cyberpräsenz verwaltet und seine Daten schützt, hat drastische Auswirkungen auf die Geschäftsfähigkeit – aus Sicht der Barrierefreiheit, aus Sicht des Marken-Trust, aus Sicht der Compliance.
Der CISO befasst sich also mit schwerwiegenden Fragen der Risikobewertung und des Risikomanagements. Dies geht sogar so weit, dass es bei der Arbeit des CISO fast ausschließlich um die Einschätzung von Risiken geht und nur gelegentlich um IT-Entscheidungen. Somit ist seine Unterordnung unter einen IT-Leiter definitiv nicht der richtige Weg.
Lesen Sie mehr zum Thema
