F

Warum ist die Rolle des Chief Information Security Officers (CISOs) so wichtig?

Die Erfolgsbasis eines Chief Information Security Officers (CISOs) sind Unabhängigkeit, umfangreiche Rechte und enger Kontakt zur Geschäftsleitung.

Dieser Artikel behandelt

Sicherheits-Jobs

ÄHNLICHE THEMEN

Ich bin CIO und versuche, die anderen Führungskräfte meines Unternehmens davon zu überzeugen, auf Geschäftsführungsebene einen Chief Information Security Officer (CISO) einzustellen. Welche Argumente sprechen dafür?

Grundsätzlich gilt: Wenn ausschließlich die IT-Abteilung für das Management der Informationssicherheit zuständig ist, fehlt es oft an Effizienz. Denn meist wird IT-Security hier eher routinemäßig, stark technisch orientiert und wenig strategisch betrieben. Es fehlt an Management und strategischer Führung – daher sollte jedes Unternehmen einen CISO einsetzen.

Der Chief Information Security Officer (CISO) ist innerhalb des Unternehmens für die Informationssicherheit zuständig. Er gewährleistet mit seinem Team unter anderen den Datenschutz, erarbeitet und verwirklicht sicherheitsrelevante Maßnahmen, überwacht die Sicherheitsarchitektur und prüft, ob alle Vorschriften eingehalten werden (Compliance). Dadurch minimiert er die Risiken im Unternehmen.

Der CISO ist auf der obersten Führungsebene für die Einrichtung und Aufrechterhaltung von sicherheitsrelevanten Prozessen verantwortlich, um die Vermögenswerte des Unternehmens zu schützen und die Risiken zu minimieren. Meist berichtet der Chief Information Security Officer direkt an den CIO oder eine Führungskraft außerhalb der IT-Abteilung.

Basis für den Erfolg eines CISOs sind Unabhängigkeit, umfangreiche Befugnisse und eine einflussreiche Position im Unternehmen:

  • Unabhängigkeit vom Einfluss oder Druck der Personen, die vom Schutz der Unternehmenswerte betroffen sind;
  • Kompetenzen und Befugnisse, alle geeigneten Schutzmaßnahmen umsetzen zu dürfen;
  • Einflussreiche Position innerhalb des Unternehmens, um Informationssicherheit in der Unternehmenskultur zu verankern.

Der CISO sollte nicht nur technisches Know-how besitzen, sondern auch die Geschäftsprozesse und Anforderungen der Fachabteilungen kennen, um geeignete Konzepte für den Schutz der Unternehmenswerte zu entwerfen und umzusetzen. Der CISO steht permanent in enger Kommunikation mit der Geschäftsleitung – im Unterschied zum IT-Security-Team, das meist nur bei größeren Zwischenfällen Kontakt zur obersten Führungsebene hält. Der CISO stellt zudem sicher, dass die Sicherheitssysteme mit den technischen und geschäftlichen Zielen übereinstimmen.

Mehr zum Thema Jobs in der IT-Sicherheit:

Security-Awareness-Training: Sinnvolle Schulung für Angestellte.

Best Practices für Security Information and Event Management (SIEM).

GICSP: Das neue Security-Zertifikat für industrielle Steuerungssysteme (ICS).

Fear, Uncertainty and Doubt (FUD), zu Deutsch etwa: Furcht, Ungewissheit und Zweifel, eine auf Abschreckung abzielende Kommunikationsstrategie gegenüber der Geschäftsleitung mag clever sein, wird aber nicht die gewünschten Ergebnisse bringen. Verunsicherung sollte nicht der Grund sein, warum die Geschäftsleitung sich stärker auf das Thema Informationssicherheit konzentriert und die Position eines CISOs einrichtet.

Wenn Sie 50 CEOs der 1000 größten Unternehmen fragen, welche Gedanken sie um den Schlaf bringen und worin sie ihr wichtigstes Ziel sehen, werden sie nicht antworten: Wir wollen die besten Technologien liefern oder das beste Konzept für IT-Sicherheit in der Branche umsetzen. 

Stattdessen setzen sie sich das primäre Ziel, Umsatz, Gewinn und Aktienkurs zu maximieren. Der CISO stellt sicher, dass er im Bereich IT-Security die richtigen Prozesse entwickelt und realisiert, um dieses Ziel zu unterstützen. Diese Maßnahmen sollten kosteneffizient sein, Risiken minimieren und alle Compliance-Anforderungen erfüllen.

In diesem Fall werden die obersten Führungskräfte den Chief Information Security Officer (CISO) als wichtiges Mitglied der Geschäftsleitung unterstützen, da er tiefgehendes Know-how für Technologien und Risiken für die Informationssicherheit besitzt und zugleich Lösungen entwirft, die mit den Zielen des Unternehmens übereinstimmen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Jobs und Training

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close