Chief Information Security Officer (CISO): In sieben Schritten zum Erfolg

Sie sollten längst in alle Unternehmensentscheidungen miteinfließen: Cyber-Risiken. Entsprechend gehört das Thema nicht mehr nur in die IT-Abteilung, sondern platziert auf Vorstandsebene. 

KPMG International hat deshalb weltweit bei zahlreichen Chief Information Security Officern (CISO) diverser Branchen sowie  eigenen Cyber-Spezialisten nachgefragt, was das konkret bedeutet und wie sie vorgehen, um im Unternehmen Widerstandsfähigkeit, aber auch Wettbewerbsfähigkeit langfristig zu erhalten.

In der englischsprachigen Studie „From enforcer to influencer: Shaping the tomorrow's security team“ sind die sieben wichtigsten Empfehlungen festgehalten:

Als CISO ist es an Ihnen, Unternehmensleitungen mögliche Cyber-Risiken ihrer strategischen Entscheidungen aufzuzeigen. Dabei geht es darum, wirtschaftliche Ziele und Sicherheit in Einklang zu bringen. Außerdem entwickeln sich CISOs immer mehr zu öffentlichen Personen, die das Unternehmen repräsentieren und Vertrauen vermitteln sollen. Um Ihren Einfluss zu erhöhen, gilt es pragmatisch, aber auch politisch zu denken und vorzugehen und dabei unternehmensinternen Konsens zu erzielen.

Ihr Verantwortungsbereich als CISO erweitert sich stetig. Sie müssen Datensicherheit gewährleisten, die Resilienz Ihres Unternehmens auch nach disruptiven Entwicklungen erhalten und gleichzeitig Compliance-Risiken sowie Cyber-Kriminalität im Blick behalten. Das gelingt nicht ohne den steten Kontakt mit anderen Entscheider:innen wie dem Chief Risk Officer (CRO), Chief Data Officer (CDO) und natürlich Chief Information Officer (CIO). Dieser Austausch, ob er nun eher formell oder informell abläuft, gelingt nur, wenn Sie aufgeschlossen sind und den Blick über den Tellerrand wagen.

Die CISOs von heute sollten geschickte Kommunikatoren sein. Dazu gehört, andere Entscheider:innen auch persönlich davon zu überzeugen, dass Cyber-Sicherheit in die DNA des Unternehmens gehört. Das gelingt nur, wenn Sie die Aufmerksamkeit für das Thema insgesamt erhöhen und dafür sorgen, dass es in alle Management- und Führungsentscheidungen miteinbezogen wird.

CISOs werden Kooperationen eingehen und neues, teils auch unkonventionelles Personal einstellen müssen, um das Unternehmen dabei zu unterstützen, die digitalen Herausforderungen zu meistern. Möglicherweise werden wir aber auch beobachten, dass die Cyber-Risiko-Teams wieder schrumpfen, weil das Thema weniger als alleinstehende Herausforderungen wahrgenommen wird, sondern vielmehr als Teil jeder strategischen und wirtschaftlichen Entscheidung. 

Automatisierung hat viele Vorteile. Sie kann sich wiederholende Tätigkeiten übernehmen, die Effizienz steigern und Personalmangel abfedern. Außerdem ermöglicht sie, das Erfüllen von Compliance-Anforderungen und Sicherheitsmaßnahmen zu standardisieren. Das wiederum erlaubt, die Reaktion auf einen Cyber-Vorfall zu beschleunigen und zu optimieren.

Wir entwickeln uns in Richtung einer hypervernetzen Welt, in der das Internet der Dinge (IoT) und 5G-Netze Effizienzen massiv steigern und radikal neue Geschäftsmodelle hervorbringen.
Gleichzeitig ergeben sich weitere (Daten-)Risiken für Unternehmen. Das verlangt nach einem neuen datenzentrierten Sicherheitsmodell, zum Beispiel nach dem Zero-Trust-Prinzip, das sich gleichzeitig technisch wie strategisch an weitere Neuerungen rasch anpassen kann. 

Unternehmen sind längst Teil eines komplexen Ökosystems, in dem Zulieferer und andere Partner durch gemeinsame Nutzung von Daten- und Dienstleistungen miteinander verbunden sind. Konventionelle Verträge und Haftungsmodelle erscheinen hier schnell ungeeignet, um den Herausforderungen gemeinsam gerecht zu werden. Wir brauchen also einen neuen Ansatz, der durch Kooperation Sicherheit für alle schafft.