Rawpixel.com - stock.adobe.com
Welche Aufgaben hat der CISO bei der Netzwerksicherheit?
Ein CISO ist nicht nur für das Risikomanagement im Unternehmen verantwortlich. Er muss über Compliance-Vorgaben Bescheid wissen und über gute Kommunikationsfähigkeiten verfügen.
Zu den wichtigsten Aufgaben des Chief Information Security Officers (CISO) gehört, die übergreifende Sicherheitsstrategie für das Unternehmen zu erarbeiten, für das er tätig ist. Der Schutz des Netzwerks ist also der wesentlichste Teil seiner Tätigkeiten. Aus gutem Grund, das Netzwerk ist die Basis für alle geschäftlichen Anwendungen und für die durch die IT-Abteilung verwalteten Daten. Es ist deswegen auch der primäre Bereich, in dem Security-Tools eingesetzt werden.
Der CISO muss dabei genau verstanden haben, wie ein Unternehmen das Netzwerk einsetzen will, um Daten zu verarbeiten. Mit diesem Wissen ausgestattet kann er ein Security-Framework erstellen, das es dem Betrieb ermöglicht, seinen Geschäften mit dem geringsten technischen Risiko nachzugehen. Ein typischer CISO kümmert sich aber nicht selbst um die Einrichtung der ausgewählten Netzwerksicherheits-Technologien, die im Framework beschrieben werden. Es schadet aber natürlich nicht, wenn er über einen umfassenden technischen Hintergrund in Netzwerken und ihrer Einrichtung verfügt. Sein Sicherheitsprogramm kann davon nur profitieren.
Kommunikationsfähigkeiten des CISO
Darüber hinaus muss er über eine Reihe von „Soft Skills“ verfügen, um die von ihm entwickelten Sicherheitsrichtlinien und Informationen den anderen Angestellten im Unternehmen oder auch Geschäftspartnern zu erklären. Gute Kommunikationsfähigkeiten sind deshalb für den meist höchstrangigen Sicherheitsspezialisten in einer Firma von großer Bedeutung. So muss sich der CISO oft für die Wichtigkeit der ausgewählten Datensicherheitsmaßnahmen einsetzen und sie auch gegenüber anderen Führungskräften ohne vergleichbaren technischen Hintergrund vertreten können.
Ein CISO muss in der Lage sein, Fakten leicht verständlich präsentieren zu können und zu erläutern, was in produktiv genutzten Netzwerken heutzutage möglich ist und was nicht. Das erfordert, dass der CISO über tiefgehende Kenntnisse über die Bedürfnisse des Unternehmens verfügt, Bescheid darüber weiß, wie sie mit dem IT-Netzwerk in Verbindung stehen und welche technische Infrastruktur für ihren Betrieb benötigt wird. Ein großer Teil der Aufgaben des CISOs ist also sicherzustellen, dass die IT-Besitztümer des Unternehmens geschützt bleiben. Weil das Netzwerk praktisch immer Teil eines jeden Projekts mit IT-Bezug ist, muss der CISO immer wieder auch anderen Führungskräften und Interessenvertretern die technischen und sicherheitsrelevanten Zusammenhänge erklären können. Der CISO muss deswegen über alle größeren Ergänzungen und Änderungen des Netzwerks informiert und im Bilde gehalten werden. Nur dann kann er dafür sorgen, dass alle erforderlichen Maßnahmen getroffen werden, um auch die neuen Teile des Netzwerks zu sichern.
Compliance und Datenschutz
Nicht zuletzt muss sich der CISO ebenso um die Erfüllung der diversen Compliance-Vorgaben halten, die das Unternehmen einzuhalten hat. Die technischen Maßnahmen müssen vor allem dann an sie angepasst werden, wenn das Firmennetz auch sensible personenbezogene Daten von Kunden, Patienten oder Partnern transportiert oder zu ihrer Speicherung dient. Hier spielt zum Beispiel in der Europäischen Union die DSGVO (Datenschutz-Grundverordnung) eine große Rolle. Der CISO sollte in die Identifizierung aller Teile des Netzwerks involviert sein, die von den jeweiligen Compliance-Vorgaben betroffen sind. Er ist außerdem dafür verantwortlich, dass die erforderlichen Maßnahmen zum Schutz der Daten auch wirklich getroffen werden und überall dort greifen, wo zu schützende Daten das Netzwerk des Unternehmens durchqueren.