Rawpixel.com - stock.adobe.com
Die Rolle des CISO: Die Anforderungen und Aufgaben
Auch hierzulande trifft man immer häufiger auf Chief Information Security Officer (CISO). Welche Aufgaben haben sie und welchen Herausforderungen stehen sie gegenüber?
Aus den USA ist vor einiger Zeit der Begriff des Chief Information Security Officer (CISO) zu uns gekommen. Was steckt dahinter und warum wird er heutzutage benötigt? Unter anderem ist die Bezeichnung entstanden, weil Unternehmen sich heutzutage einer sich laufend verändernden Bedrohungslage gegenübersehen, die mit traditionellen Herangehensweisen nicht mehr in den Griff zu bekommen ist.
Der CISO kümmert sich um den Betrieb, die strategische Ausrichtung und das Budget der Security-Maßnahmen in einem Unternehmen. Er berät die Geschäftsleitung in allen Sicherheitsfragen, Bedrohungen und wenn es um die Einhaltung der Compliance-Vorgaben geht. Zusätzlich zu diesen beratenden Aufgaben gegenüber anderen Managern, steht ein CISO meist auch Kunden und Teilhabern eines Unternehmens Rede und Antwort. Mitarbeiter in einer Firma wenden sich darüber hinaus an den CISO, wenn es um Security Awareness Trainings oder um Informationen bezüglich der getroffenen beziehungsweise einzuhaltenden Sicherheitsmaßnahmen geht.
Ein CISO widmet sich der essentiellen Aufgabe, Angriffe vorherzusagen und bereits im Vorfeld unschädlich zu machen. Das unterscheidet seine Aufgabe von der anderer Sicherheitsverantwortlicher im Unternehmen, die bislang vor allem auf Vorfälle reagiert haben. Anstelle also auf einen Angriff zu warten und dann einen vorher festgelegten Incident-Response-Plan auszuführen, konzentriert sich der CISO auf die konkrete Vorhersage und Abwehr der Attacke. Aus diesem Grund hat ein CISO nie ausgelernt, er muss sich laufend über neue Bedrohungen und Schwachstellen informieren. Dieses Sammeln und Aufnehmen von neuen Informationen hört zu keinem Zeitpunkt auf, da sich die Bedrohungen und Gefahren laufend ändern.
Warum die Evolution der Bedrohungen dem CISO neue Aufgaben verschafft
In vielen Tech-Unternehmen hat es in der jüngeren Vergangenheit organisatorische Änderungen in den Führungsetagen gegeben. Die Aufgaben und Verantwortlichkeiten des CISOs haben sich dadurch nicht nur geändert, sondern sie wurden meist gleichzeitig auch noch ausgeweitet. Eine Ursache dafür sind die zunehmend ausgefeilteren Gefahren.
In der Vergangenheit wurde die Rolle des CISO oft als rein beratend beschrieben. Ursprünglich war die damit befasste Person hauptsächlich dafür verantwortlich, die Unternehmensführung über Sicherheitsvorfälle zu informieren und die Mitarbeiter im Bereich Security Awareness zu trainieren. Heutzutage sieht das anders aus. Aufgrund der sich rapide verändernden Bedrohungslandschaft und dem Mangel an gut ausgebildeten IT-Sicherheitsexperten, sind die Aufgaben des CISOs komplexer als früher geworden. Das hat auf der anderen Seite aber auch dazu geführt, dass er in der Regel endlich die Anerkennung erhält, die er sich in den vergangenen Jahren bereits mehr als verdient hat.
Warum sich neue regulatorische Vorgaben auf die Compliance auswirken
Ein CISO muss jederzeit über alle aktuellen und künftigen gesetzlichen und Branchen-relevanten Vorgaben Bescheid wissen, die die Einhaltung seiner Compliance-Vorgaben betreffen. Genaue Kenntnisse über zum Beispiel die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union oder auch des California Consumer Privacy Act sind dafür erforderlich. CISOs organisieren darüber hinaus Security-Assessments und -Audits, um Schwachstellen in der Infrastruktur identifizieren zu können, bevor Cyberattacken auftreten.
Sofern erforderlich kümmern sie sich auch um die Verbesserung der Security Awareness im Unternehmen. Durch immer wieder neue Vorgaben der Gesetzgeber in den verschiedensten Ländern wird diese Aufgabe aber nicht leichter. Die aktuell geltenden Sicherheitsvorgaben müssen immer wieder an sie angepasst werden.
Warum ein CISO ausgezeichnete kommunikative Fähigkeiten benötigt
Ein CISO muss ein ausgezeichneter Kommunikator sein. Zu seinen wichtigsten Aufgaben gehört die Kommunikation mit Kunden und Teilhabern des Unternehmens, die natürlich sicherstellen wollen, dass die Geschäftsleitung alles unternimmt, um Gefahren abzuwehren und die IT-Sicherheit zu verbessern.
Daneben arbeiten die CISOs mit anderen Abteilungen innerhalb des Unternehmens zusammen, um die Risiken für den täglichen Betrieb durch IT-Sicherheitsvorfälle zu reduzieren. Dabei muss der CISO immer wieder hoch technische Details in einer Sprache erklären, die andere in diesen Bereichen nicht ausgebildete Mitarbeiter und Führungskräfte in dem Unternehmen verstehen können. Diese Fähigkeit, sicherheitsrelevante Informationen und Unternehmensvorgaben den Kollegen in leicht verständlichen Begriffen zu verdeutlichen, ist für ihre Aufgabe also mehr als essentiell.
Außerdem ist es von großer Bedeutung, dass zwischen dem CISO und den administrativen Mitarbeitern in einer Organisation jederzeit eine offene und ehrliche Verständigung möglich ist. Zum Glück haben die meisten Führungskräfte mittlerweile die Bedeutung des CISOs für das gesamte Unternehmen und seine Kunden erkannt. Sie sind deswegen in der Regel jetzt bereit, ihn bei seiner Arbeit bestmöglich zu unterstützen.