Was einen Chief Information Security Officer ausmacht:Erfolgreiche Steuerung der IT-Sicherheit
31. Oktober 2018Nicht nur im IT- und im Business-Bereich, sondern auch beim Thema Cyber-Sicherheit sind die Auswirkungen der digitalen Transformation zu spüren. Dementsprechend verändert sich auch die Rolle des Chief Information Security Officer (CISO): Sie verlangt immer mehr Managementfähigkeiten und Kooperationsbereitschaft. Zu dieser Erkenntnis kommt die Studie „What It Takes to Be a CISO: Success and Leadership in Corporate IT Security“, die PAC – a CXP Group Company im Auftrag von Kaspersky Lab durchgeführt hat.
Die Digitalisierung prägt unsere Welt ist immer stärker, und dieser Weg ist für die meisten Unternehmen längst nicht mehr nur optional. Die digitale Transformation führt zu einer Öffnung von Volkswirtschaften, Unternehmen und Informationssystemen, wodurch sie agiler und vernetzter werden, aber auch anfälliger für Bedrohungen.
Als ein wesentlicher Katalysator für die digitale Transformation hat sich die Cyber-Sicherheit angesichts dieser zunehmenden Risiken etabliert: Sie schützt nicht nur das Unternehmen sowie dessen Ökosysteme, sondern macht diese Transformation überhaupt erst möglich. „Um diesen Herausforderungen gerecht werden zu können, muss sich allerdings auch die Rolle des Chief Information Security Officer wandeln“, so Mathieu Poujol, Head of Cyber Security bei PAC.
Wie die Leistung des CISO gemessen wird
Die Rolle der für die Studie befragten CISOs innerhalb ihres Unternehmens lässt sich an den Key Performance Indicators (KPIs) festmachen, nach denen ihre Leistung beurteilt wird, an der Abteilung, für die sie arbeiten, und an ihren Hauptaufgaben. Diese KPIs spiegeln die Prioritäten des CISO wider: Schutz des Unternehmens vor Cyber-Bedrohungen und deren Auswirkungen, Reduzierung von Schwachstellen, Lösung von Compliance-Problemen und Einhaltung der Budgets.
Ein Blick darauf, wie die Leistung der CISOs gemessen wird, lässt erhebliche Unterschiede bei den KPIs erkennen, je nachdem, wie lange ein CISO diese Rolle bereits innehat. Interessanterweise werden CISOs mit kürzerer Amtszeit seltener anhand der vollen Palette an KPIs bewertet. Es bestehen große geografische Unterschiede. So ist beispielsweise die Qualität und Geschwindigkeit der Reaktion auf Störfälle ein KPI für 80 Prozent der befragten CISOs in der APAC-Region, während in Lateinamerika nur 68 Prozent der CISOs an diesem KPI gemessen werden.
CISOs, die ihrer Meinung nach nicht ausreichend an unternehmerischen Entscheidungen beteiligt sind, werden zu 9 Prozent seltener nach der Häufigkeit schwerer Sicherheitsverletzungen und zu 10 Prozent seltener nach ihrer Compliance-Bilanz beurteilt. Dies scheint die Tatsache widerzuspiegeln, dass diese CISOs weniger in unternehmerische Entscheidungen eingebunden werden.
Einbindung der CISOs auf Geschäftsleitungsebene
Die Einbindung der CISOs ist eine Sache, die Hierarchieebenen im Unternehmen eine andere. „Normalerweise würde man davon ausgehen, dass ein Chief Information Security Officer Mitglied der Geschäftsleitung ist. Es sitzen jedoch nur 26 Prozent der befragten CISOs im Vorstand und nehmen an allen Sitzungen teil“, erläutert Wolfgang Schwab, Principal Consultant bei PAC.
In der Regel findet man CISOs auf Geschäftsleitungsebene nur in Unternehmen mit hohem Digitalisierungsgrad oder in sensiblen Sektoren, sowie in sehr großen Firmen. Dies ist häufig gleichbedeutend mit einem hohen Reifegrad bei der Cyber-Sicherheit. Nur 58 Prozent der befragten CISOs sind der Ansicht, angemessen in unternehmerische Entscheidungen eingebunden zu sein.
Allerdings glauben nur 25 Prozent der befragten CISOs, die nicht Mitglied der Geschäftsleitung sind, dass sie dies sein sollten. Der Rest ist zufrieden mit der aktuellen Position. In Europa denken 41 Prozent der CISOs, sie sollten eigentlich Teil der Geschäftsleitung sein, während in den GUS-Ländern nur 13 Prozent der befragten CISOs dieser Meinung sind.
Eine weitere Erkenntnis aus der Studie ist, dass sich ein Großteil der CISOs selbst nicht als Business Manager sieht – was normalerweise ein wesentliches Element einer Position auf CxO-Ebene ist – sondern eher als Fachexperten. Manager für Cyber-Sicherheit gehört zu den besonders techniklastigen Rollen im Unternehmen, und so werden diese Mitarbeiter auch bewertet.
CISOs als Ratgeber
Insbesondere CISOs, die stärker mit den Geschäftsbereichen zusammenarbeiten möchten, werden von der Geschäftsleitung häufiger um Rat gefragt als CISOs, die hier kein Interesse zeigen. CISOs, die in ihrem Unternehmen gut vernetzt sind und bereit sind, mit den verschiedenen Geschäftsbereichen zu kooperieren, werden als wertvollere Ratgeber wahrgenommen als Kollegen, die sich hier nicht engagieren. Dieser Trend weist in eine Zukunft, in der CISOs mehr auf die Belange des Business achten und sich auf Geschäftsrisiken konzentrieren müssen. In einigen großen Unternehmen kommt der CISO bereits nicht mehr aus der IT-Abteilung.
Methodik der Studie
Die PAC-Studie „What It Takes to Be a CISO: Success and Leadership in Corporate IT Security” („Was einen CISO ausmacht: die erfolgreiche Steuerung der IT-Sicherheit im Unternehmen“) gibt Antworten auf diese Fragen. Sie wurde von PAC im Auftrag von Kaspersky Lab durchgeführt und analysiert weltweit den Status quo sowie die künftige Entwicklung der Rolle des CISO und seiner Organisation. Grundlage sind eine CATI-Befragung von 250 Unternehmen weltweit, die CISOs oder vergleichbare Rollen haben, sowie 11 Experten-Interviews. Diese Studie wurde erstmals im Sommer 2018 durchgeführt und wird jährlich aktualisiert werden.
Die englischsprachige Studie steht zum Download bereit
Hier geht es zu PAC