Pixsooz - Fotolia

Hat sich die Rolle des CISO/CSO durch die vielen Sicherheitsvorfälle verändert?

Nach vielen bekannt gewordenen Datensicherheitsverletzungen sollte klar sein, dass in Unternehmen ein CISO beziehungsweise CSO dringend notwendig ist.

Dieser Artikel behandelt

Sicherheits-Jobs

ÄHNLICHE THEMEN

Die Rolle des Chief Information Security Officer (CISO), oft auch nur CSO (Chief Security Officer) genannt, wurde in den letzten Jahren eher durch Sicherheitsvorfälle bekannt. Das Rampenlicht folgte einigen Datensicherheitsverletzungen von hohem Stellenwert bei großen Unternehmen. Das führte zu prüfenden Blicken auf die Arbeit der Security-Programme innerhalb dieser Firmen.

Viele kommerzielle Unternehmen schaffen es immer noch nicht, ihre Security-Programme zu aktualisieren und diese zentral zu managen. Erinnern Sie sich an die Kompromittierung der Zwei-Faktor-Authentifizierung RSA SecureID im Jahre 2011 und an die gestohlenen Passwörtern bei LinkedIn im Jahre 2012? Keines der beiden Unternehmen hatte einen dedizierten CISO. Nun ist diese Position in beiden Firmen besetzt.

Auch 2014 und 2015 gab ebenfalls einige Datensicherheitsverletzungen und Einbrüche, die viel Rummel verursachten. Target und JPMorgan Chase aus den Fortune 500 hatten keinen CISO. Es gab nicht mal einen Leiter der Security- und Risikoprogramme, der Vollzeit mit dieser Tätigkeit beschäftigt war. Die Kunden der Firmen waren natürlich alles andere als glücklich. Das gilt auch für die Gutachter, Banken, Kreditkarteninstitute oder Versorgungsketten.

Mit der Aussicht auf höhere Gehälter und komplexen Herausforderungen bietet die Rolle des CISO für Personen eine Chance, die hohen Stress aushalten und IT-Sicherheits- sowie Risiko-Management-Programme ausarbeiten können. Sie sind das Bindeglied zwischen Management und Technikern. Sie dirigieren die düsteren Details der Technologiebetriebsmittel und Konformitäts-Frameworks. Um zu einem CISO aufzusteigen, fängt man oft als Informatiker an. Die Rolle entwickelt sich allerdings weiter und für viele ist sie noch ein undefiniertes Buch mit sieben Siegeln.

Die Supermarktkette Target hat seit der Datensicherheitsverletzung im Jahre 2013 mehrere Hundert Millionen verloren und seinen ersten CISO, Brad Maiorino, angeheuert. Er war vorher CISO und Chief Risk Officer bei General Motors. Maiorino sagte der New York Times: „Im Moment haben wir die Chance zu definieren, was ein CISO ist und an wen wir berichten sollen. Es sind spannende Zeiten, in diese Funktion tätig zu sein.“

Der Spagat des CISO

Früher war die Rolle des CISO mehr oder weniger mit der eines leitenden Administrators gleichzusetzen. Es war jemand, der im Back Office an den Systemen arbeitete und im Endeffekt die Firewalls konfiguriere. Es gab zu diesem Zeitpunkt nicht wirklich ein C-Niveau oder eine Management-Rolle.

Das ändert sich nun. Die Bereiche IT-Sicherheit und Datenschutz bekommen immer mehr Aufmerksamkeit. Deswegen erstreckt sich die Rolle des CISO über IT, Compliance, Business Continuity (BC), Personal und Betriebsanlagen. Somit ist es herausfordernd, wo man den CISO organisatorisch in einem kommerziellen Unternehmen ansiedeln soll. Weil der CISO den Fuß in verschiedenen Bereichen der Unternehmen hat, befindet er sich nun am Tisch mit dem gesamten leitenden Management.

Einige Unternehmen haben den Fokus auf die Cybersecurity erneuert und spendieren der CISO-Rolle mehr Ressourcen. So reagieren sie auf die zunehmenden Bedrohungen. „Um besser vorbereitet zu sein, schreiben unsere Kunden der CISO-Rolle eine echte Management-Position zu. Sie berichten also nicht mehr erst an einen Angestellten mit C-Niveau. Weiterhin wurden die Budgets und die Anzahl der Mitarbeiter sowie die Investitionen in Technologie erhöht“, sagt Cindy Miseli, leitende Personalvermittlerin bei Alta Associates.

Alta Associates vermittelt seit über 25 Jahren leitende Angestellte und hat langjährige Erfahrung im Bereich IT-Risiko-Management und IT-Sicherheit. Laut Miseli erwartet man von einem CISO heutzutage, dass er spezialisierte Berichte abgibt und mehr technische Erfahrung in Bereichen wie zum Beispiel IT-Forensik, Incident Response, Security-Betrieb und Bedrohungseindämmung, sowie IT-Risiko-Management besitzt. Gleichzeitig hat ein Security Officer nun die Möglichkeit, bei Unternehmensinitiativen mitzuwirken, die sich außerhalb der gewöhnlichen IT-Security-Programme befinden. Wir sprechen hier zum Beispiel von Unternehmensfusionen sowie Produktstrategie.

Hauptsache der Name taucht auf

Einen CISO findet man in der Regel in Unternehmen mit 1.000 oder mehr Angestellten. Die Marktforscher von Gartner empfehlen allerdings, dass sich Firmen bereits ab 150 Angestellten überlegen sollten, einen CISO oder CSO einzustellen. In dem Bericht The Business Case for the Chief Information Security Officer aus dem Jahre 2012 schrieb Analyst Paul E. Proctor, dass Firmen aus verschiedenen Gründen die Position des CISO nicht besetzen. Die Ursachen dafür reichten von Unwissenheit bis hin zu keine Notwendigkeit, da man bereits ausgezeichnete Security-Kontrollen im Einsatz hätte. Die Unternehmen sind also der Meinung, dass zentrales Security-Management nicht notwendig ist. Andere Firmen führen einen CISO lediglich dem Namen nach und weisen die Rolle einfach einer Person aus der Rechtsabteilung oder der IT zu. Laut Proctor haben diese Mitarbeiter allerdings oftmals gar nicht die Zeit für diese Aufgabe.

Es handelt sich hier um ein Phänomen, das sich bei Behörden und kommerziellen Unternehmen ausbreitet. Das Argument: „Die meisten Unternehmen wurden von irgendeiner Malware oder einer persistenten Bedrohung angegriffen. Es ist also etwas Schlechtes mit der Infrastruktur passiert.“ Die Tatsache, dass man einen CISO hat, genügt vielen bereits. So kann man dem Aufsichtsrat und den Investoren sagen, dass sich ein Chief Information Security Officer im Unternehmen befindet. Es sieht so aus, als habe man zumindest Maßnahmen getroffen und Ressourcen für diese Person eingesetzt. Leider löst das aber keines der Probleme.

Neben den steigenden Verantwortlichkeiten und dem höheren Profil ist die CISO-Funktion oft noch von Technologie und Zwang getrieben. Für die Entwicklung einer Strategie und entsprechenden Richtlinien bleibt keine Zeit. Das Ponemon Institute hat im Jahre 2013 die Daten von 133 CISOs als Teil einer größeren Gehaltsumfrage analysiert. Dazu wurden die CISOs gefragt, wie Sie auf einer Skala von 100 Punkten ihre Zeit verbringen:

Monitoring und Audit erhielten mit 24 Punkten die höchste Wertung. Das Verbessern von Richtlinien kam mit 16 Punkten auf Rang Zwei. Vorfalls-Management (12), Business-Conitinuity-Management (11) und Risikobewertung (10) folgten. Planung (5) und Beschaffung (4) bekamen recht niedrige Werte. Richtlinienentwicklung (2), strategische Ausrichtung (1) und Unternehmenskommunikation (1) erhielten die geringsten Punktezahlen.

Taktische Wahrheit

Diese Antworten passen zu der Ansicht über die Rolle eines CISO hinsichtlich Strategieausrichtung und Richtlinienentwicklung, sagt Larry Ponemon. Er ist Gründer und Präsident des Unternehmens. „Es scheint, dass CISOs tatsächlich mehr taktischer Natur sind. Das ist keine Überraschung“, fügt er an.

Durchschnittlicher Arbeitstag eines CISOs

Die Ponemon-Umfrage hat sich auch mit den Beziehungen der Security Officer in Firmen mit mehr als 1.000 Angestellten beschäftigt. Der IT-Betrieb führte mit 78 Prozent. Es folgten Data-Center-Management (55 Prozent), Unternehmens-Compliance (39 Prozent), Business-Continuity-Management (36 Prozent), Datenschutzbeauftragter (28 Prozent) und Risiko-Management für das Unternehmen (16 Prozent). Personalabteilung und die Finanzabteilung befanden sich am Ende der Liste.

Die Qualifikationen der Befragten variierten ebenfalls. 34 Prozent der Security Officer hatten einen Computer und MIS-Hintergrund (Management Information Systems). 20 Prozent kamen aus dem Gesetzesvollzug, 16 Prozent hatten eine Vergangenheit beim Militär und 14 Prozent sogar Geheimdiensterfahrung.

„Sie können jeden intelligenten Menschen nehmen und ihn mit den richtigen Schulungen zu einem Security-Profi aufbauen“, sagt Brice Brody, Chief Cybersecurity Strategist bei Cubic Corp. „Um es bis zu einem CISO zu schaffen, braucht man allerdings auch ein dickes Fell und man muss Chaos in Ordnung umwandeln können. Weiterhin ist eine effiziente Kommunikation mit der Geschäftsleitung und den Technikern notwendig. Man muss sich sowohl bei den Anzugträgern als auch der T-Shirt-und-Jeans-Fraktion der IT-Abteilung wohl fühlen“, fügt er an.

Proctor empfiehlt, dass größere Organisationen zunächst eine Rolle definieren. Danach „versuchen Sie jemanden zu finden, der sich sowohl mit Business als auch mit Security-Technologie auskennt.“

„Sind Sie der Meinung, das Problem lässt sich mithilfe von Technologie lösen, dann verstehen Sie möglicherweise das Problem nicht“, meint Brody. „Sie müssen vielmehr ganzheitlich an die Sache herangehen. Die Leitung ist natürlich wichtig, aber sie können auch die technischen Aspekte nicht ignorieren. Ein Teil Ihres Jobs ist es, die technischen Steuermittel einzusetzen und diese in eine Wechselbeziehung zu einem Compliance Framework zu stellen. Über letzteres brauchen Sie ebenfalls die Kontrolle“, erklärt er.

Der stetige Strom neuer Security-Kontrollelemente macht es zu einer schwierigen Aufgabe, die richtige Technologie für eine Firma zu finden. Das ist einer der schwersten Aspekte des Jobs. Es gibt einfach zu viele gute Ansätze. Eine sorgfältige Bewertung all dieser Security-Kontrollen in der Welt der IT-Sicherheit fehlt oft komplett.

Jeder Information Security Officer fällt seine eigenen Entscheidungen. Leider sind einige der besten Ansätze Einzellösungen. „Der CISO kann sich nicht auf einzelne Lösungen fokussieren, wenn er sich um eine komplette Architektur kümmern soll, die all die verschiedene Bereiche absichern muss“, sagte Brody. „Eine Einzellösung löst nicht einmal ein Prozent des Problems. Deswegen suchen Sie immer nach einer unternehmensweiten Lösung, die Sie für die Verbesserung des Risikoprofils einsetzen können.“, erklärt der Profi.

Unerforschtes Karriere-Neuland

Die Wichtigkeit der CISO-Stelle ist unbestritten. Allerdings ist der Karriereweg der Informationssicherheit sehr schlecht definiert und man braucht mehr Mitarbeiter. Das US-Department of Homeland Security hat das National Cybersecurity Workforce Framework ausgegeben, um Security-Profis bezüglich Rollen, Fähigkeiten und Karrieremöglichkeiten aufzuklären. Laut Workforce Framework ist der CISO eine der Positionen, die mit dem Management des Security-Programms beauftragt ist. Das sind Informations Systems Security Officer, IT Director und Risikobeauftragter. Die Definition für diese Positionen ist:

Er managt Informations-Security-Implikationen innerhalb der Organisation, spezifische Programme oder andere Verantwortungsbereiche, um strategische, personelle, Infrastruktur-, Richtlinien-Durchsetzungs-, Notfall-Planungs-, Security-Bewusstseins- und andere Ressourcen einzusetzen.

Was die Cybersecurity angeht, kümmert sich der Chief Information Officer laut Framework um die strategische Planung und die Entwicklung der Richtlinien.

Obwohl CIOs und CISOs in jedem Unternehmen eng zusammenarbeiten, liegt der Hauptfokus des CIOs darauf, dass die IT im Allgemeinen glatt läuft. Die Rolle eines CISO ist schützen, verteidigen, reagieren und wiederherstellen. Dieser Bereich der Informationssicherheit kommt sich vielleicht mit den Budget-Prioritäten des CIOs und dem Wunsch in die Quere, alle Systeme am Laufen zu halten. Berichtskanäle, die den CIO außen vor lassen und direkt mit dem Vorstand und anderen Managern auf C-Niveau kommunizieren, bekommen laut der Ponemon-Studie oftmals mehr Geld.

Auf welche Weise CISOs dem Vorstand Bericht erstatten

Die Umfrage wurde in Unternehmen mit 1.000 oder mehr Angestellten durchgeführt, Ergebnis:

Es gibt kein Reporting

33 Prozent

Zwanglos, von Ereignissen abhängig

32 Prozent

Formell, in regelmäßigen Abständen

19 Prozent

Zwanglos, nach Belieben des CEOs oder Vorstands

5 Prozent

Formell, unregelmäßige Abstände

3 Prozent

133 befragte CISOs, aus dem 2013 Salary Benchmark Report des Ponemon Institute

„Die beiden Rollen entwickeln sich noch weiter. Denken Sie dabei an die Zukunft der IT-Technologie. Wenn jedes Unternehmen (Bring Your Own Device (BYOD) adaptiert und die eigene Infrastruktur durch Auslagerung in die Cloud reduziert, werden sich die Rolle des CIO und die des Security Officers fast umkehren“, sagt Brody.

Die Branche muss einen geeigneteren Karriereweg für die IT-Security-Praktiker definieren und sie besser bei Ihrem Werdegang leiten. Die Laufbahn eines CISO definiert sich derzeit laut Brody nur selbst. In dieser Karriere werden Erfolge normalerweise niemals wahrgenommen. Fehlschläge werden oftmals hingegen übermäßig aufgebauscht und man landet schon mal auf der Titelseite einer großen Tageszeitung.

Über den Autor:
Kathleen Richards ist die Feuilleton-Redakteurin des Magazins Information Security. Sie können Ihr auf Twitter unter @RichardsKath folgen.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Jobs und Training

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close