Welche Aufgaben erfüllen CISOs?
Langsam aber sicher gewinnt die Cybersicherheit in industriellen und produzierenden Unternehmen aller Art an Bedeutung. Ein wichtiger Beleg dafür ist die wachsende Zahl von Chief Information Security Officers (CISOs), die in die oberste Managementebene (C-Level) berufen werden. Während zunächst in den meisten Unternehmen kein Experte für Cybersicherheit zuständig war, hat sich diese Funktion im Laufe der Jahre häufig zu Positionen wie etwa "Information Security Manager" entwickelt. Heute sehen wir, dass diese Funktion ihren rechtmäßigen Platz in der obersten Führungsriege einnimmt, gemeinsam mit dem Chief Executive Officer, dem Chief Financial Officer, dem Chief Operating Officer und anderen Topmanagern am Tisch sitzt.
Der berufliche Hintergrund von CISOs
Es mag viele überraschen, dass Chief Information Security Officers normalerweise zuvor keine technisch orientierte Position innehatten, sondern beispielsweise aus dem Rechts- oder Finanzbereich eines Unternehmens kommen. Dies ist auch sinnvoll. Denn viele Unternehmen haben erkannt, dass Probleme bei der Cybersicherheit zwar technischer Natur sind, sich aber vor allem auf das wirtschaftliche Ergebnis auswirken oder durch Gesetzesverstöße und Haftungsfragen auch zu rechtlichen Schwierigkeiten führen können. Deshalb ist es unerlässlich, dass CISOs ein grundlegendes Verständnis für diese Zusammenhänge haben. Darüber hinaus helfen ihnen ein betriebswirtschaftlicher Hintergrund und entsprechende Abschlüsse die Sprache ihrer Kollegen auf der obersten Managementebene zu sprechen, um mit diesen effektiv zu kommunizieren.
Außerdem ist es hilfreich, wenn die als CISO ausgewählte Person zumindest über ein ausgeprägtes technisches Interesse oder sogar über entsprechende Fähigkeiten verfügt. Auf alle Fälle sollten sie im Bereich der Netzwerktechnik geschult sein und viel Zeit in der Fertigung verbringen, um zu erfahren, wie das Unternehmen unter technischen Gesichtspunkten läuft.
Respektieren Sie Ihren CISO
Ein guter Chief Information Security Officer ist schwer zu finden - und noch schwerer zu behalten. Ein Grund liegt darin, dass eine Person, die sowohl über geschäftliche als auch über technische Fähigkeiten verfügt, selten ist. Und wenn jemand seine Eignung als CISO bewiesen hat, werden Personalberater zweifellos anrufen.
Die Fluktuation ist jedoch auch aus anderen Gründen hoch. Bisweilen scheinen CISOs nur als „Aushängeschild" zu dienen, sind also lediglich Lippenbekenntnisse gegenüber Anforderungen von Kunden, Industrie oder Topmanagement. In diesen Fällen erhält der CISO möglicherweise nicht die richtigen Befugnisse oder Budgets, die seiner Position entsprechen. Und die Diskrepanz zwischen der großen Verantwortung für die Gewährleistung der Cybersicherheit und einer unzureichenden organisatorischen Unterstützung bei deren Umsetzung kann nicht nur für den Einzelnen eine Belastung sein, sondern auch für das Unternehmen. Wenn Sie einen CISO haben oder diese Position selbst ausüben, dann tappen Sie nicht in diese Falle. Sorgen Sie vielmehr dafür, dass diese Funktion eine wichtige Bedeutung hat.
Von Kollegen lernen
Der Chief Information Security Officer ist eine vergleichsweise neue Position, und meines Wissens gibt es noch kein offizielles Zertifizierungs- oder Zulassungsverfahren für diese Funktion. CISOs haben jedoch ein umfassendes Netzwerk, in dem sie Informationen, wichtige Erkenntnisse, Erfahrungen und bewährte Verfahren (Best Practices) miteinander austauschen, und zwar sowohl über verschiedene Handelsorganisationen als auch über die Webseiten von Business Plattformen wie LinkedIn. Neu berufene CISOs sollten diese Quellen professioneller Unterstützung finden und nutzen. Zugleich können sie auch hilfreich sein, um einen CISO zu finden, wenn Ihr Unternehmen diese Funktion schaffen oder neu besetzten will.
Wie ist der Status Ihres Unternehmens in puncto CISO? Haben Sie einen CISO? Suchen Sie einen? Ist das ein neuer Ansatz für Sie? Wir würden das gerne wissen.