Berufsbild im Wandel CISOs gewinnen an Bedeutung und Einfluss

Zunehmende Sicherheitsverletzungen, komplexer werdende Datenschutz­bestimmungen und die Trennung von Sicherheit und IT – Das Aufgabenfeld eines CISO entwickelt sich aufgrund der sich ändernden Erwartungen in Bezug auf Datenschutz und Datensicherheit immer schneller. Gleichzeitig erhöht sich so die Bedeutung der Sicherheitsfunktion der CISOs.

Wenn es in den vergangenen Jahren eine Führungsposition im Sicherheitsbereich gab, war sie in der Regel einem Vice President of Infrastructure oder einer ähnlichen Funktion unterstellt und beschränkte sich auf operative Tätigkeiten wie beispielsweise die Zugangskontrolle. Heute wird von CISOs meist nicht nur verlangt, dass sie dem Vorstand berichten, sondern auch, dass sie in diesem vertreten sind. Aufgrund der aktuellen Schlagzeilen und Sicherheitslage wollen viele Vorstände eher mit der Sicherheitsleitung sprechen, bevor sie den CIO kontaktieren.

Veränderte Anforderungen

Das Aufgabenfeld der CISOs entwickeln sich aufgrund der sich ändernden Erwartungen in Bezug auf Datenschutz und Datensicherheit rasch weiter. Datenschutzverletzungen, die Einhaltung von Vorschriften und das Risikomanagement für Dritte sind zu einem wichtigen Thema geworden. Denn Unternehmen, die von Datenschutzverletzungen betroffen sind, müssen mit enormen Kosten und Markenschäden rechnen.

Gesetze wie die DSGVO der Europäischen Union (EU) verstärken den Druck, indem sie von Unternehmen verlangen, neue und weitaus detailliertere Kontrollen für Kunden- und Verbraucherdaten einzuführen. Ferner werden Unternehmen durch Datenschutzverletzungen, die auf Schwachstellen in der Lieferkette und bei Dritten zurückzuführen sind, konfrontiert, die wiederum neue Haftungsfälle auslösen können.

CISOs befinden sich inmitten dieses Wandels und werden zunehmend mit der Verantwortung für den Aufbau von Datenschutz-Risikoprogrammen und der Verwaltung von Drittanbieter-Risiken und Anbieterkontrollen betraut. Für viele sind dies neue Bereiche, mit denen sie bis dato meist wenig Erfahrung vorweisen können.

Neues Risiko- und Regulierungsumfeld

Viele Unternehmen sehen sich beispielsweise gezwungen, neue Funktionen für das Daten-Mapping und die Nachverfolgung von Datenflüssen einzuführen, um die gestellten Anforderungen zu erfüllen. Ebenso stehen Themen wie die Datenminimierung im Rahmen der gesetzlichen Vorgaben in direktem Widerspruch zu den Data-Mining- und Data-Analytics-Initiativen, die viele Unternehmen in den letzten Jahren umgesetzt haben.

CTOs und CIOs wollten so viele Daten wie möglich sammeln und sie in Data Warehouses einspeisen, um das Unternehmen smarter zu machen. Das Risikomanagement von Drittanbietern bzw. die Kontrolle von Anbietern sind weitere Bereiche, die die Bedeutung und damit die Sichtbarkeit der CISOs deutlich prominenter machen.

Ein zunehmender Teil der Aufgaben eines CISOs besteht heute darin, die Produkte und Dienstleistungen von Anbietern für ihre Organisationen zu prüfen. Viele der jüngsten Sicherheitsverletzungen sind auf Angriffe zurückzuführen, bei denen Schwachstellen in Partnernetzwerken ausgenutzt wurden. Das bedeutet, die Sicherheitsorganisation ist häufiger damit betraut, potenzielle Probleme zu identifizieren und zu beseitigen.

Das heißt, der CISO entscheidet mit dem C-Level (hochrangige Führungspositionen), mit welchen Partnern das Unternehmen Geschäfte machen sollte. Viele Sicherheitsorganisationen, mit denen CISOs zu tun haben, verbringen mittlerweile bis zu 40 Prozent ihrer Zeit mit der Verwaltung von Risiken durch Dritte. Das bringt sie in eine Reihe mit dem Einkauf und anderen Abteilungen bzw. Aufgabenstellungen, mit denen sie in der Vergangenheit kaum etwas zu tun hatten.

Einflussreichere Rolle für CISOs

Nachdem CISOs bisher auf eine weitgehend operative und technische Rolle beschränkt waren, werden die Sicherheitsverantwortlichen in einer wachsenden Zahl von Unternehmen erstmals mit einer breiteren und einflussreicheren Rolle bedacht. CISOs erhalten damit mehr Gelegenheiten, Einfluss zu nehmen, Partnerschaften einzugehen und Veränderungen im gesamten Unternehmen zu unterstützen.

Wo es früher ausreichte, über operative und technische Fähigkeiten zu verfügen, müssen CISOs heute in der Lage sein, Geschäftssinn zu beweisen und zeigen, wie Sicherheit Werte und neue Marktchancen schafft. CISOs müssen daher befähigt sein, mit Geschäftsführern des C-Levels und dem Vorstand zusammenzuarbeiten, Geschäftsanforderungen zu verstehen, neue Initiativen zu ermöglichen und als Vermittler zwischen verschiedenen Geschäftsfunktionen zu fungieren.

Neues Berichtswesen für CISOs

Traditionell berichten CISOs an den CIO, CTO oder in einigen Fällen an die Leiter der Infrastruktur, da die Rolle in erster Linie als operativ und technisch angesehen wurde. Während CIOs in der Regel daran gemessen und dafür belohnt werden, dass sie die Systeme aufrechterhalten und neue Technologien installieren, konzentrieren sich CISOs auf den Schutz der Unternehmensressourcen und die Reduzierung der Risiken.

Mittlerweile kam die Diskussion jedoch zu der Auffassung, dass die Rolle des CISOs aufgrund der gegensätzlichen Interessenslage von der IT getrennt werden sollte, um noch umfassender Einfluss auf die Risiken zu nehmen und Veränderungen voranzutreiben. Aus diesem Grunde berichten einige CISOs direkt an CEOs, CFOs, COOs oder sogar General Counsels.

Natürlich untersteht die überwältigende Mehrheit der CISOs jedoch weiterhin den CIOs, da sie in Bereichen wie der Verwaltung der Netzwerksicherheit mit operativen Aufgaben betraut sind. Wenn diese operativen Aufgaben in andere Führungspositionen verlagert werden, wird der Fokus der CISOs mehr auf Governance und Strategie liegen.

Daher werden Forderungen laut, dass ein CISO eher die Rolle eines sogenannten Chief Information Risk Officer (CIRO) übernehmen sollte, der eng mit den Bereichen Finanzen, Strategie und anderen Gruppen zusammenarbeitet. Es ist zu erwarten, dass auch Funktionen des Richtlinienmanagements in die Rolle des CIRO übergehen könnten.

(ID:48481408)