Was macht CISOs erfolgreich?

Kaspersky-Studie liefert Erkenntnisse und Erfahrungen von CISOs aus der ganzen Welt

„Was macht einen erfolgreichen CISO aus? 1. Dass einem der Himmel nicht auf den Kopf fällt! Ich meine, kein erfolgreicher Angriff, der dem Unternehmen schadet. 2. Personalmanagement 3. Zusammenarbeit.” (CISO bei einer Baufirma in der Schweiz)

Digitalisierung, wachsende Cybergefahren, zunehmende Regulierung und eine immer komplexere IT-Infrastruktur halten IT-Sicherheitsbeauftrage in Unternehmen in Atem. Für den Chief Information Security Officer (CISO) bedeutet das, immer neue cybertechnische Herausforderungen zu bewältigen und gleichzeitig die eigene Stellung im Unternehmen weiter zu festigen. In einer weltweiten Studie befragte Kaspersky Lab CISOs und erhielt ein topaktuelles Bild mit klaren Handlungsempfehlungen:

  • Qualifikationen und Zertifizierungen bilden die Grundlage
  • CISOs gehören zur Entscheidungsebene
  • Abteilungsübergreifende Zusammenarbeit ermöglicht nachhaltige Cybersicherheit
  • Budget für Cybersicherheit darf nicht Teil des IT-Budgets sein

 

Qualifikationen und Zertifizierungen

Fachwissen, das konstant auf dem neuesten Stand gehalten wird, ist für CISOs eine Selbstverständlichkeit, aber nicht ausreichend. CISOs benötigen zudem

  • Tiefe Einblicke in Prozesse und Kultur des Unternehmens,
  • Eingehende Kenntnisse über alle Geschäftsfelder im Unternehmen sowie in dessen innere Struktur, von der Rechtsabteilung über HR bis zur IT,
  • Solides Wissen um regulatorische Rahmenbedingungen (Compliance),
  • Freude am Netzwerken sowie
  • Kompetenz zur Führung eines Spezialisten-Teams, das es zu motivieren und auszubauen gilt.

 

CISOs sollten sicherstellen, dass sie über grundlegende formale Berufsqualifikationen inklusive Zusatzqualifikationen verfügen. Beispielsweise konnten viele der von Kaspersky Lab befragten CISOs die Qualifikationen CISSP (46 Prozent) oder CISM (37 Prozent) vorweisen. Auch weniger naheliegende, wie beispielsweise eine ISO 27001-Zertifizierung, kann bei Budgetverhandlungen sowie bei Compliance-Fragen hilfreich sein.

 

CISOs in die Führungsriege

Auch wenn viele Unternehmen die geschäftliche Relevanz von Cybersicherheit erkannt haben, ist die Funktion des CISO oftmals hierarchisch nicht so hoch angesiedelt, wie die eines CIO oder CFO. Nur 26 Prozent der befragten CISOs sind Vorstandsmitglieder und nur 25 Prozent derjenigen, die nicht auf C-Level-Ebene verortet sind, glauben dorthin zu gehören. Obwohl vornehmlich der Wille und die Grundeinstellung ausschlaggebend für eine erfolgreiche CISO-Arbeit sind, so unterstützt eine C-Level-Rolle doch zweifelsfrei eine frühzeitige Einbindung in alle sicherheitsrelevanten Entscheidungen. Kurz gesagt: Ein CISO berichtet nicht an den CIO, sondern beide berichten an den CEO.

 

 

Zusammenarbeit ist der Schlüssel

IT-Sicherheit ist selten ein isoliertes Thema; es reicht nicht aus, wenn IT-Sicherheit und IT-Abteilung ihren ohnehin engen Kontakt nur auf CISO- beziehungsweise CIO-Ebene pflegen. Die Zusammenarbeit mit anderen Abteilungen, wie HR oder der Rechtsabteilung, ist mindestens genauso bedeutsam. Je alltäglicher und selbstverständlicher die abteilungsübergreifende Interaktion ist, desto besser funktioniert die Zusammenarbeit an Projekten und in Fällen, die die Cybersicherheit des Unternehmens betreffen. Ein CISO muss demnach willens und fähig sein, enge Beziehungen zu Kollegen in anderen Abteilungen zu knüpfen, und seine Vernetzung im Unternehmen kontinuierlich vorantreiben.

 

Budget richtig verhandeln

56 Prozent der von Kaspersky Lab befragten CISOs erwarten wachsende Budgets für Cybersicherheit in ihren Unternehmen. Doch werden sie ihre Budgetwünsche realisieren können? Denn für Cybersicherheit gibt es keine hundertprozentigen Garantien. Das erschwert es CISOs, sich bei Budgetverhandlungen durchzusetzen. Während andere Abteilungen in der Lage sind, einen genauen Return on Investment (ROI) vorzurechnen, kann ein CISO dazu wenig oder gar keine Aussagen treffen. Was also tun? Ein neues Verständnis von Cybersicherheit als relevanter Business-Faktor muss verankert und in der Argumentation reflektiert werden:

  • Ausgaben für Cybersicherheit dürfen nicht nach ihrem ROI berechnet werden.
  • Denn sie sind eine Investition in die Zukunft, die zur nachhaltigen Fortführung des Geschäftsbetriebs grundlegend ist.
  • Sie sind quasi die Risikoprämie einer Versicherung gegen Cybersicherheitsvorfälle, deren Folgekosten das Unternehmen sonst die Existenz kosten könnte.

52 Prozent der befragten CISOs bewerten die digitale Transformation ihres Unternehmens als wichtigste strategische Entwicklung, die nicht ohne begleitende Cybersicherheit gelingen kann. Auch deshalb kann das Budget für Cybersicherheit nicht Teil des generellen IT-Budgets sein.

 

Keine Angst vor der Zukunft, CISOs!

„Das Wichtigste, was sich geändert hat, ist die Sichtbarkeit. Noch vor ein paar Jahren war ich als Cybersicherheitsexperte nicht wirklich in meinem Unternehmen sichtbar. Dank Innovation und neuer Technologien sieht dies jetzt ganz anders aus.“ (CISO bei einem Unternehmen für Zahlungsservices in Indien)

Der Anspruch und die Erwartungen an die Rolle eines CISOs werden in den nächsten Jahren steigen. Auch weil sich das Tätigkeitsfeld durch technologische Entwicklungen ständig verändern wird. Aktuelle Trends, die CISOs im Auge behalten sollten sind unter anderem:

  • KI zur Analyse von Malware
  • Cloud-basierte Sicherheit zur Teilautomatisierung von Sicherheitsressourcen
  • Blockchain-Technologie zur sicheren Authentifizierung
  • Predictive Analytics
  • kognitives maschinelles Lernen
  • Quantenkryptografie

 

Weitere Ergebnisse des CISO-Reports von Kaspersky Lab gibt es hier.