Letztes Jahr hatte ich gemischte Gefühle, als ich das Feedback meiner Kollegen zu den Themen und Schwerpunkten der Branche las. Ein Jahr später stellt sich heraus, dass die Ergebnisse unserer neuen Umfrage (siehe unten) noch interessanter sind.
Der erste Eindruck, den Sie erhalten, wenn Sie sich die Ergebnisse dieser beiden Studien ansehen, ist folgender: Informationssicherheit im Allgemeinen und die Rolle des CISO im Besonderen werden für die Wirtschaft immer wichtiger – zumindest für ungefähr 300 meiner Befragten Informationssicherheitskollegen. Definitiv ein gutes Zeichen. Dies gilt auch für die Tatsache, dass immer mehr Befragte das „Risikomanagement“ und andere Geschäftsfähigkeiten zu den für ihre Rolle wesentlichen Skills zählen.
In einem Punkt kann ich jedoch vielen meiner Kollegen nicht zustimmen. Einige sind noch immer der Meinung, dass technische Kompetenzen und fundierte Kenntnisse der firmeninternen IT-Systeme die Schlüsselkompetenzen sowohl für ihre Arbeit als auch für ihre Weiterentwicklung sind. Ich glaube eher, dass, obwohl technisches Wissen die Grundvoraussetzung für einen CISO ist, die Branche dennoch erkennen muss, dass moderne IT-Systeme mittlerweile viel zu komplex geworden sind, als dass, rein technisch gesehen, ein CISO den Gesamtüberblick behalten könnte.
Darüber hinaus werden Informationssysteme zunehmend ausgefeilter (was auch der Erwarung der meisten Befragten entspricht). Daher sind die technischen Kompetenzen eines CISO, auch wenn sie wichtig sind, für die Entwicklung von Fähigkeiten wie Risikomanagement, effektives Teammanagement und Geschäftskommunikation von untergeordneter Bedeutung. Heute zählt vor allem das angestellte Personal.
Menschen statt Systeme verstehen
Tatsächlich sind sowohl IT-Systeme als auch Sicherheitstechnologien inzwischen so ausgereift, dass sie auch hochspezialisierten Fachkräften geschäftskritische Entscheidungen abnehmen können. Diese Veränderung macht das Vertrauen in das Team natürlich noch wichtiger als je zuvor. Einerseits muss der Abteilungsleiter für Informationssicherheit den Spezialisten des Teams vertrauen können. Andererseits müssen auch sie dem Urteil und den Entscheidungen des CISO vertrauen – nicht blind oder ohne ihre Meinung zu äußern, aber mit einem gemeinsamen Ziel und gegenseitigem professionellen Respekt.
Den Befragten zufolge ist es manchmal einfacher, ein höheres Budget für die Beschaffung von Systemen zu erzielen, als mehr Fachkräfte für Informationssicherheit einzustellen. Möglicherweise klingt es gut, so viele glänzende neue Systeme wie möglich zu kaufen. Es ist jedoch viel wichtiger, die Schlüsselfähigkeiten und -kompetenzen zu ermitteln, die für interne Experten und ausgelagerte Experten unabdingbar sind. Angesichts des Fachkräftemangels auf dem Markt halte ich es für eine gute Idee, Outsourcing als eine Möglichkeit zu betrachten, die Fähigkeiten der Abteilung zu erweitern und somit schneller auf geschäftliche Anforderungen reagieren zu können.
Von der Reaktion auf Vorfälle (Incident Response) bis zum Risikomanagement
Auch wenn die Rolle des CISO für wichtige Stakeholder – zum Beispiel dem Vorstandsrat oder dem CEO – nach wie vor an Bedeutung gewonnen hat, rufen diese meistens erst nach Hilfe, nachdem bereits etwas geschehen ist. (Zum Glück scheint dies vor allem bei der Konkurrenz oder Branchenkollegen vorzukommen. Dennoch zeigt es, dass viele Unternehmen Informationssicherheit nicht als Instrument für das Management von Geschäftsrisiken betrachten.) Auf die Frage, wie das Management die Leistung der Informationssicherheit misst, geben viele CISOs weiterhin an, dass die Anzahl der Vorfälle oder die Reaktionszeit der Vorfälle die Schlüsselindikatoren sind.
Das sind sicherlich wichtige Faktoren, aber innerhalb des modernen Cyberimmunitätskonzepts, das Kaspersky aufgreift, ist ein gut geschütztes Unternehmen nicht eines, das nur die Anzahl der Schaden verursachenden Angriffe minimiert oder Vorfälle schnell untersucht, sondern das Unternehmen, dessen Geschäft sich trotz solcher Vorfälle erfolgreich entwickeln kann.
Denn tolerierbare Risiken und akzeptable potenzielle Verluste durch Zwischenfälle sind für alle Unternehmen unterschiedlich. Manchmal lohnt es sich, Schutzmaßnahmen zu lockern, um die Geschäftsentwicklung anzukurbeln. In anderen Situationen ist dies keine Option. Die Anzahl der Vorfälle kann nicht als absolutes Maß für die Leistung der Informationssicherheit dienen. Es ist auch wichtig, wie sich Informationssicherheitsmaßnahmen auf die Verarbeitungsgeschwindigkeit und die Kosten von Geschäftsaufgaben auswirken. Meiner Meinung nach müssen CISOs daher in erster Linie in der Lage sein, Risiken angemessen zu bewerten und Informationssicherheitssysteme aufzubauen, die perfekt auf ihre Unternehmen und Geschäftsprozesse abgestimmt sind, anstatt sich auf den Schutz von Vorfällen zu konzentrieren.
Verbringen Sie mehr Zeit mit Anwälten
Eine weitere Sache, die mir auffiel, waren Antworten auf die Wichtigkeit der Kommunikation mit anderen Abteilungen innerhalb des Unternehmens. Anwälte sollten eine höhere Priorität genießen. Aufgrund der zunehmenden Komplexität der IT-Systeme und ihrer Wechselbeziehungen zu externen Diensten einerseits und den internationalen Gesetzen andererseits, können die potenziellen rechtlichen Konsequenzen der Entscheidungen von IT-Sicherheitsfachleuten nicht außer Acht gelassen werden.
Die Befragten rangierten die Kontakte zu Anwälten an vierter Stelle – nach den Finanzmanagern, dem Vorstand und den Kollegen der IT-Abteilung. Meines Erachtens sollten Kontakte zu Anwälten zumindest Vorrang vor Kontakten zu Finanzmanagern haben. Wenn Sie Informationssicherheit als ein Tool für das Management von Geschäftsrisiken betrachten, ist dies nur logisch.
Die Umfrage bietet viel interessantere Daten, daher empfehle ich, den vollständigen Text zu lesen. Um den Bericht herunterzuladen, füllen Sie bitte das folgende Formular aus.