Die Auswirkungen der fortschreitenden digitalen Transformation sind nicht nur im IT- und im Business-Bereich, sondern auch beim Thema Cyber-Sicherheit zu spüren. Dementsprechend verändert sich auch die Rolle des Chief Information Security Officer (CISO), die immer mehr Managementfähigkeiten und Kooperationsbereitschaft verlangt. Dies ist eine Erkenntnis der Studie »What It Takes to Be a CISO: Success and Leadership in Corporate IT Security«, die PAC – a CXP Group Company im Auftrag von Kaspersky Lab durchgeführt hat [1].
Unsere Welt ist immer stärker digitalisiert, und dieser Weg ist für Unternehmen längst nicht mehr optional. Die kontinuierlich voranschreitende digitale Transformation führt zu einer Öffnung von Volkswirtschaften, Unternehmen und Informationssystemen, wodurch sie agiler und vernetzter werden, aber auch anfälliger für Bedrohungen. Angesichts dieser zunehmenden Risiken ist Cyber-Sicherheit heute ein wesentlicher Katalysator für die digitale Transformation. Sie schützt nicht nur das Unternehmen sowie dessen Ökosysteme, sondern macht diese Transformation überhaupt erst möglich. »Um diesen Herausforderungen gerecht werden zu können, muss sich allerdings auch die Rolle des Chief Information Security Officer wandeln«, so Mathieu Poujol, Head of Cyber Security bei PAC.
Wie die Leistung des CISO gemessen wird
Die Rolle der für die Studie befragten CISOs innerhalb ihres Unternehmens lässt sich an den KPIs festmachen, nach denen ihre Leistung beurteilt wird, an der Abteilung, für die sie arbeiten, und an ihren Hauptaufgaben. Diese KPIs spiegeln die Prioritäten des CISO wider: Schutz des Unternehmens vor Cyber-Bedrohungen und deren Auswirkungen, Reduzierung von Schwachstellen, Lösung von Compliance-Problemen und Einhaltung der Budgets (Abb. 1).
Ein Blick darauf, wie die Leistung der CISOs gemessen wird, lässt erhebliche Unterschiede bei den KPIs erkennen, je nachdem, wie lange ein CISO diese Rolle bereits innehat. Interessanterweise werden CISOs mit kürzerer Amtszeit seltener anhand der vollen Palette an KPIs bewertet. Es bestehen große geografische Unterschiede. So ist beispielsweise die Qualität und Geschwindigkeit der Reaktion auf Störfälle ein KPI für 80 Prozent der befragten CISOs in der APAC-Region, während in Lateinamerika nur 68 Prozent der CISOs an diesem KPI gemessen werden.
CISOs, die ihrer Meinung nach nicht ausreichend an unternehmerischen Entscheidungen beteiligt sind, werden zu 9 Prozent seltener nach der Häufigkeit schwerer Sicherheitsverletzungen und zu 10 Prozent seltener nach ihrer Compliance-Bilanz beurteilt. Dies scheint die Tatsache widerzuspiegeln, dass diese CISOs weniger in unternehmerische Entscheidungen eingebunden werden.
Abb.1: Wie wird Ihre Leistung in Ihrer Rolle gemessen (KPIs)?
Einbindung der CISOs auf Geschäftsleitungsebene
Die Einbindung der CISOs ist eine Sache, die Hierarchieebenen im Unternehmen eine andere. »Normalerweise würde man davon ausgehen, dass ein Chief Information Security Officer Mitglied der Geschäftsleitung ist. Es sitzen jedoch nur 26 Prozent der befragten CISOs im Vorstand und nehmen an allen Sitzungen teil«, erläutert Wolfgang Schwab, Principal Consultant bei PAC. In der Regel findet man CISOs auf Geschäftsleitungsebene nur in Unternehmen mit hohem Digitalisierungsgrad oder in sensiblen Sektoren, sowie in sehr großen Firmen. Dies ist häufig gleichbedeutend mit einem hohen Reifegrad bei der Cyber-Sicherheit. Nur 58 Prozent der befragten CISOs sind der Ansicht, angemessen in unternehmerische Entscheidungen eingebunden zu sein.
Allerdings glauben nur 25 Prozent der befragten CISOs, die nicht Mitglied der Geschäftsleitung sind, dass sie dies sein sollten. Der Rest ist zufrieden mit der aktuellen Position. In Europa denken 41 Prozent der CISOs, sie sollten eigentlich Teil der Geschäftsleitung sein, während in den GUS-Ländern nur 13 Prozent der befragten CISOs dieser Meinung sind.
Eine weitere Erkenntnis aus der Studie ist, dass sich ein Großteil der CISOs selbst nicht als Business Manager sieht – was normalerweise ein wesentliches Element einer Position auf CxO-Ebene ist – sondern eher als Fachexperten. Manager für Cyber-Sicherheit gehört zu den techniklastigsten Rollen im Unternehmen, und so werden diese Mitarbeiter auch bewertet.
CISOs als Ratgeber
Insbesondere CISOs, die stärker mit den Geschäftsbereichen zusammenarbeiten möchten, werden von der Geschäftsleitung häufiger um Rat gefragt als CISOs, die hier kein Interesse zeigen. CISOs, die in ihrem Unternehmen gut vernetzt sind und bereit sind, mit den verschiedenen Geschäftsbereichen zu kooperieren, werden als wertvollere Ratgeber wahrgenommen als Kollegen, die sich hier nicht engagieren. Dieser Trend weist in eine Zukunft, in der CISOs mehr auf die Belange des Business achten und sich auf Geschäftsrisiken konzentrieren müssen. In einigen großen Unternehmen kommt der CISO bereits nicht mehr aus der IT-Abteilung.
Abb. 2: Wann bittet Sie die Geschäftsleitung um Rat?
[1] Über die Studie: Die PAC-Studie »What It Takes to Be a CISO: Success and Leadership in Corporate IT Security” (»Was einen CISO ausmacht: die erfolgreiche Steuerung der IT-Sicherheit im Unternehmen«) möchte diese und andere Fragen beantworten. Sie wurde von PAC im Auftrag von Kaspersky Lab durchgeführt und analysiert weltweit den Status quo sowie die künftige Entwicklung der Rolle des CISO und seiner Organisation. Grundlage sind eine CATI-Befragung von 250 Unternehmen weltweit, die CISOs oder vergleichbare Rollen haben, sowie 11 Experten-Interviews. Diese Studie wurde erstmals im Sommer 2018 durchgeführt und wird jährlich aktualisiert werden.
Die englischsprachige Studie steht zum Download bereit: http://go.cxpgroup.com/e/483761/2OeZyLD/625dj/37885189
Die Zukunft des CISO – Im Spannungsfeld zwischen Digitalisierung und Wirklichkeit
Neue EU-Richtlinien: CEOs und CISOs müssen sich ernste Fragen stellen
IT-Sicherheitsverantwortliche halten Datenlecks für unvermeidbar