Blog
Blog von ISPIN

Drei Fragen, welche ein CISO heute beantworten muss

/Blog
Erstellt von Andreas Rieder, Chief Delivery Officer

Was macht einen CISO heute aus? Welche Eigenschaften, welches Know-how und welche Erfahrung muss er mitbringen? Was wird von ihm erwartet und was benötigt er, um diese Anforderungen gut erfüllen zu können?

Kaum eine Rolle in der Informationssicherheit hat sich in den letzten Jahren so stark gewandelt, wie die des Chief Information Security Officers oder kurz CISO. Für den Wandel verantwortlich ist die Veränderung der Cyberrisiken in den letzten Jahren. Vor ein paar Jahren waren sie noch eher Ärgernis oder im besten Fall eine Randerscheinung. Heute sind entsprechende Zwischenfälle zu einer geschäftskritischen, mitunter sogar zu einer existenziellen Angelegenheit geworden.

Entsprechend anspruchsvoll sind mittlerweile die Anforderungen an den obersten Sicherheitsverantwortlichen eines Unternehmens:

  • Er muss die Prinzipien und Methoden der Informationssicherheit verstehen, aber auch mit den verschiedenen IT-Fachabteilungen kommunizieren können.
  • Er muss dafür sorgen, dass die Sicherheitsrichtlinien eingehalten werden, darf aber gleichzeitig kein Bremsklotz oder gar Verhinderer der Organisation werden.

Das Ganze muss er mit begrenzten Mitteln bewerkstelligen und im Wissen, dass er verantwortlich sein wird, falls etwas schiefläuft. Eine klassische Ausbildung zum CISO gibt es nicht. Wer die nötige Erfahrung und entsprechende Zertifikate mitbringt und wem der Job zugetraut wird, der kann die Funktion des CISO prinzipiell übernehmen. Aber leicht ist der Job nicht. Denn ein CISO muss Führungskraft, Berater, Kommunikator und technische Fachkraft gleichzeitig sein. Leute mit einem solchen Profil sind selten, teuer und oftmals auch schwer langfristig zu halten. Wie aber nimmt ein guter CISO seine Rolle wahr? Welche Fragen stellt er bzw. welche Antworten braucht er, um seine Rolle zu erfüllen?

1. Welche Bedrohungen sind für die Organisation relevant?

Ein Grundsatz in der Informationssicherheit lautet, dass nicht alles gegen alles geschützt werden kann. Ein guter CISO wird sich daher zunächst eine fundierte Basis schaffen, die es erlaubt, richtige Entscheidungen zu treffen. Dazu benötigt er eine Aussen- und eine Innensicht. Die Aussensicht besteht darin, die relevanten Cyberrisiken und ihre möglichen Auswirkungen zu identifizieren.
Für den CISO macht es allerdings einen wesentlichen Unterschied ob das Unternehmen,

  • Finanzdienstleistungen erbringt oder medizintechnische Geräte herstellt;
  • Für Dritte Daten verarbeitet oder bei Dritten verarbeiten lässt;
  • Zentral- oder dezentral in verschiedenen Ländern (unter unterschiedlichen Rechtsprechungen und Gesetzgebungen) produziert
  • Mitarbeiter im Aussendienst arbeiten oder ein Forschungsbereich vorhanden ist;
  • Regulatorischen Anforderungen untersteht und falls ja welchen.

Das führt dazu, dass sich die Risikoprofile von Unternehmen, selbst innerhalb der gleichen Branche, mitunter stark unterscheiden können.

2. Wie gut ist die Organisation im Umgang mit den relevanten Bedrohungen?

Die Innensicht besteht darin, die Fähigkeit einer Organisation gegenüber den identifizierten Risiken zu analysieren. Das entsprechende Gebiet ist dabei sehr vielseitig und kann auch sehr komplex sein. Es umfasst:

  • Die Organisationsstruktur
    Wie werden Entscheidungen getroffen, welche Arten von Anwendern gibt es?
  • Die Prozesse
    Wie und wo werden Daten verarbeitet?
  • Die Technik
    Welche Applikationen und Systeme sind im Einsatz?
    Wie sehen die Netzwerk- und Applikationsstrukturen aus?

Ein guter CISO wird diese Fähigkeit messbar machen. Das erleichtert die Zielsetzung und später auch die laufende Bestimmung des Fortschrittes. Für die Messbarkeit wird sich der CISO eines geeigneten Security-Frameworks bedienen. Dieses wird einerseits den jeweiligen rechtlichen, regulatorischen und branchenspezifischen Anforderungen gerecht. Andererseits zeigt es auch einen Standard auf, der angestrebt werden soll oder muss (Regulatorien).

3. Welche Prioritäten müssen gesetzt werden?

Der Gap zwischen der aktuellen Fähigkeit der Organisation im Umgang mit Cyberrisiken und dem angestrebten Niveau ergibt den Handlungsbedarf, der durch geeignete Massnahmen über einen definierten Zeitraum zu erfüllen ist. Dabei wird der professionelle CISO beachten, dass Massnahmen unterschiedliche Kosten und unterschiedliche Wirkungen haben. Er wird daher eine entsprechende Periodisierung vornehmen. Es ist in der Informationssicherheit ein fast schon normaler Zustand, dass die verfügbaren Ressourcen für die Aufgaben nicht ausreichen. Es gilt daher sorgfältig abzuwägen, welche Massnahmen anderen vorgezogen werden sollen.

Menschen, Prozesse und Technologie im Einklang

Bis vor kurzem wurde Informationssicherheit relativ einseitig als technisches Problem betrachtet. Heute wird von einem CISO eine strategische Herangehensweise erwartet, die gewährleistet, dass das Unternehmen mittels eines ganzheitlichen Risikomanagements geschützt wird. Der moderne CISO ist sich bewusst, dass Sicherheit nicht durch technische Massnahmen allein entsteht. Die teuerste Systemüberwachung hilft nichts, wenn es an Prozessen fehlt, welche die Erkenntnisse verarbeiten oder an Spezialisten, welche die Technik korrekt bedienen und unterhalten können. Es ist deshalb wichtig, dass die Investitionen in die Informationssicherheit in der richtigen Balance vorgenommen werden. Nur so können sie den grösstmöglichen Nutzen für die Organisation erbringen.

Zusammen. Sicher.

Sie möchten mehr zu diesem Thema erfahren oder sich beraten lassen? 
Kontaktieren Sie uns für ein persönliches Gespräch via info@ispin.ch oder +41 44 838 3111.

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktNewsletterGo to top