Wie viele Cyber-Attacken auf grosse Unternehmen kommen Ihnen in den Sinn, wenn Sie an die letzten Monate denken? Sicherlich einige ‒ Medien berichten inzwischen beinahe täglich über neue Vorfälle. Viele Unternehmen sind sensibilisiert und versuchen sich zu schützen. Die erforderlichen Massnahmen werden allerdings zunehmend komplexer. Für eine effektive und effiziente Umsetzung ist eine verantwortliche, koordinierende Person also essentiell. Und genau das ist die Aufgabe eines Chief Information Security Officer ‒ kurz CISO. Sie haben einen? Sehr gut! Sie haben (noch) keinen? Nun ja, selbst das Weisse Haus erhielt erst unter Obama im September 2016 (!) einen CISO. Wir erklären Ihnen, was die Aufgaben eines CISO sind, welchen Herausforderungen er sich stellen muss und weshalb er unverzichtbar ist.
Die Kernaufgabe eines CISO ist vereinfacht gesagt der «proaktive Schutz aller Informationen und Technologien in einem Unternehmen» ‒ also Ihrer Kronjuwelen. Darunter versteht man folgende Aufgaben:
- Erfüllung der Business Anforderungen und Sicherstellung der Business Continuity
- Gewährleistung der Governance und des Datenschutzes mit einer klaren Security Strategie auf Basis anerkannter Standards, beispielsweise ISO 27001 oder NIST CSF
- Aufbau eines risikoorientierten Sicherheitsdispositivs mit entsprechenden Sicherheitsrichtlinien, ICT-Sicherheitsmassnahmen und einer geeigneten Sicherheitsarchitektur
- Betrieb einer effizienten Security Organisation mit Monitoring, Threat Detection und Incident Response
- Reporting und Kontrolle über die Einhaltung der rechtlichen Vorschriften wie FINMA, PCI, SOX etc.
- Bewusstseinsförderung beim Management und den Mitarbeitenden
Klingt simpel? Nicht ganz, wenn man sich die enthaltenen Disziplinen genauer anschaut.
Aber auch diese Grafik wird den Aufgaben eines CISO nicht vollumfänglich gerecht. Sie möchten im Detail wissen, welche Disziplinen ein CISO heute beherrschen muss? Kein Problem: InfoGuard stellt Ihnen kostenlos ein Poster als Download zur Verfügung ‒ erstellt von unseren eigenen Security Officers!
Was ein CISO mitbringen muss
Das Anforderungsprofil erweitert sich laufend und ist für jedes Unternehmen individuell. Das macht den Job sehr vielfältig und spannend ‒ aber auch komplex und anspruchsvoll. Daher suchen selbst grosse Unternehmen oft händeringend geeignete Fachleute, die rar und immer stärker gefragt sind. Einerseits ist breites fachliches und technisches Wissen sowie Erfahrung gefragt; idealerweise in verschiedenen Branchen, Unternehmen und Projekten ‒ im Bereich Cyber Security gleichermassen wie in der IT generell. Entsprechende Aus- und Weiterbildungen sind hierbei zwingend. Nicht zu vergessen sind Compliance Management-Kenntnisse.
Andererseits sind Soft Skills wie Kommunikationsfähigkeit, Teamfähigkeit, Belastbarkeit, Vertrauenswürdigkeit oder auch Hartnäckigkeit in dieser Position enorm wichtig. Strategien und Konzepte müssen für das Management und die Organisation verständlich und überzeugend vermittelt werden. Ganzheitliches Denken und die Fähigkeit, vielschichtige Komponenten sinnvoll kombinieren zu können sind gefragt. Ganz nebenbei muss die Person natürlich auch ins Unternehmen und ins Team an sich passen…
Die Kombination aus fachlichen und sozialen Kompetenzen ist dementsprechend schwierig zu finden.
Worauf sollte sich ein CISO gefasst machen?
Wie Sie sicherlich bereits gemerkt haben, ist CISO kein 0815 (und schon gar kein 9-to-5) Job. Cyber Security ist extrem dynamisch; Technologien wie Big Data, Industrie 4.0, IoT oder Cloud entwickeln sich rasend schnell. Neben den vielen positiven Aspekten bieten sie jedoch Angriffsflächen für Hacker. Der erste Schritt gegen Attacken ist mit der Besetzung eines CISO getan. Die Erfolgsaussichten hängen jedoch stark vom Management Committment ab , was oftmals ungenügend ist. Viel Überzeugungsarbeit und Ausdauer sind in der Regel nötig, um die erforderlichen Massnahmen umzusetzen. Damit diese umfassend greifen, braucht es die Mitwirkung jedes einzelnen Mitarbeitenden, und zwar auf allen Ebenen.
Um die Position eines CISO kompetent ausfüllen zu können, fehlen vielerorts die nötigen Ressourcen. Solche Unternehmen sind mit Kompetenzen-Insourcing gut beraten (CISO as a Service). Auch bei temporären Personalengpässen, speziellen Projekten wie Audits, Beratungen oder um das interne Knowhow zu erweitern, kann dies eine optimale Lösung sein. So profitieren Sie von einem Experten mit umfangreicher und langjähriger Erfahrung sowie Knowhow, der zudem einen wertvollen Blick von aussen miteinbringt.
Werden Sie sich der Rolle des CISO bewusst
Wie Sie wissen, kann ein erfolgreicher Hacker-Angriff verheerende Folgen haben und ein Unternehmen langfristig prägen. Die Erkenntnis, dass Cyber Security eine Schlüsselkomponente darstellt, ist inzwischen bei vielen angekommen. Nun geht es darum, eine geeignete Strategie zu erarbeiten resp. umzusetzen, was nur mit einem guten Management möglich ist. Besonders aufgrund der Dynamik und Komplexität in der ICT-Sicherheit ist dies fundamental. Halten Sie sich dies regelmässig wieder vor Augen, wenn Sie selber CISO sind. Und sollten Sie (noch) keinen haben, befassen Sie sich ernsthaft mit diesem Thema! Denn langfristig werden auch Sie nicht darum herumkommen.
CISO as a Service
Sie wollen mehr über CISO as a Service erfahren? Wir empfehlen Ihnen als Unternehmer, der Informationssicherheit einen bedeutenden Stellenwert einzuräumen. Der entsprechende Aufwand dafür rechtfertigt in vielen Unternehmen keine Vollzeitstelle – und die Ansiedlung dieser Funktion beim CIO ist nur bedingt sinnvoll. Zudem ist es für den Sicherheitsverantwortlichen unerlässlich, den aktuellen Wissensstand zu pflegen. Die für die laufende Weiterbildung notwendige Zeit fehlt im Alltag jedoch oft. Genau solche kritischen Manpower-Situationen regelt ein «Security Officer as a Service» von InfoGuard. Sie erhalten einen erfahrenen Spezialisten, der Sie flexibel bei den Aufgaben eines CISO unterstützt ‒ individuell für Ihre Bedürfnisse und Ihr Unternehmen. Unsere Experten haben ein umfassendes Wissen, bilden sich laufend weiter und können Ihnen dank zahlreicher Projekte in den verschiedensten Branchen einen echten Mehrwert bieten.
Interessiert? Nehmen Sie jetzt mit uns unverbindlich Kontakt auf und erfahren Sie mehr zu unserem CISO-as-a-Service!