Die Entwicklung eines CISO: Wie sich die Rolle verändert hat
In vielen Unternehmen konzentriert sich der Chief Information Security Officer (CISO) hauptsächlich – manchmal ausschließlich – auf Cybersicherheit. Angesichts der heutigen komplexen Bedrohungen und der sich ständig weiterentwickelnden Geschäftswelt verändern Unternehmen jedoch die Verantwortlichkeiten vieler Rollen, und die Erweiterung der Rolle des CISO steht im Mittelpunkt dieser Veränderungen. Laut Gartner werden regulatorischer Druck und die Ausweitung der Angriffsfläche bis 2027 dazu führen, dass 45 % der Aufgabenbereiche von CISOs über die Cybersicherheit hinausgehen.
Der Umfang der Aufgaben eines CISO ändert sich so schnell. Wie wird sich seine Rolle anpassen, um den zukünftigen Herausforderungen im Bereich der Cybersicherheit gerecht zu werden?
Think-Newsletter
Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?
Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
Steve Katz wurde 1995 der weltweit erste CISO, als er die Position bei Citicorp/Citigroup übernahm. Von Beginn seiner CISO-Karriere an erkannte Katz, dass es sich bei der Rolle nicht nur um eine IT-Position handelte – es ging darum, dem Unternehmen durch Risikominderung zu dienen. In den folgenden Jahren fügten andere Unternehmen diese neue Position hinzu, wobei der CISO in den meisten Organisationsstrukturen an den CIO berichtet. Während viele CISOs die wahre Natur ihrer Rolle erkannten, war der Rest ihrer Unternehmen oft nicht auf derselben Wellenlänge.
Mit der Zeit sahen sich CISOs gezwungen, auch Aufgaben außerhalb ihrer Unternehmen zu bewältigen, wie den Aufbau von Partnerschaften, die Zusammenarbeit mit Lieferanten und die Verwaltung externer Datenübertragungen. Viele Organisationen waren jedoch der Ansicht, dass die Rolle weiterhin in erster Linie im IT-Bereich angesiedelt sei, wobei die wichtigste Verantwortung darin bestehe, das Unternehmen vor negativen Schlagzeilen aufgrund eines größeren Cybersicherheitsvorfalls oder -angriffs zu bewahren. Das bedeutete, dass sich viele CISOs hauptsächlich auf Compliance und Risikomanagement konzentrierten.
In den letzten Jahren hat sich die Rolle des CISO angesichts zunehmender Cyberangriffe und der wachsenden Risiken von Geschäftsunterbrechungen, Geldstrafen und Reputationsschäden nochmals deutlich gewandelt. Laut dem CISO-Bericht von Splunk geben 86 % der Befragten an, dass die Rolle sich seit ihrem Amtsantritt als CISO so stark verändert hat, dass es sich fast um einen anderen Job handelt. Die Rolle hat sich von einer primär technischen Funktion hin zu einer Führungsrolle im Unternehmen verschoben.
Statt Cybersicherheit zu implementieren, konzentrieren sich CISOs heute darauf, den Führungskräften des Unternehmens die Bedeutung von Cybersicherheit zu verdeutlichen und die strategische Ausrichtung der Cyberstrategie des Unternehmens mitzugestalten. CISOs überbrücken die Kluft zwischen der technischen Sprache, die der IT-Abteilung leicht fällt, und der Geschäftssprache der obersten Führungsebene.
Diese Verlagerung führte auch zu einer Umstrukturierung der Organisationsstruktur: Laut einem Bericht von Splunk berichten nun 47 % der CISOs direkt an ihren CEO. Dadurch, dass der CISO dem CEO und nicht dem CIO antwortet, veranschaulicht das Unternehmen die Bedeutung der Cybersicherheit als oberste Priorität. Darüber hinaus haben CISOs heute einen größeren Einfluss, da sie einen Sitz in der Geschäftsleitung und oft sogar im Aufsichtsrat haben.
Cybersicherheitsexperten diskutieren, ob die Rolle des CISO auf das Geschäft oder die Technologie konzentriert werden sollte. Im weiteren Verlauf wird die Antwort eindeutig in der Mitte liegen. Erfolgreiche CISOs müssen heute mehr als je zuvor über eine seltene Mischung aus technischem und geschäftlichem Sachverstand verfügen, um in ihrer Rolle wirklich erfolgreich zu sein.
Anstatt lediglich dazu beizutragen, dass die Organisation eine gemeinsame Sprache in Bezug auf Cybersicherheit und Risiko spricht, wird der CISO eine größere Führungsrolle übernehmen und die Cybersicherheitsstrategie für das Unternehmen verantworten. Mit der zunehmenden Bekanntheit und Verantwortung werden auch andere Mitarbeiter die Bedeutung der Cybersicherheit in Unternehmen erkennen.
Als eine der neueren Führungsrollen, die es erst seit wenigen Jahrzehnten gibt, hat sich der CISO erheblich weiterentwickelt, seit Katz die Schlagzeilen gemacht hat. Da die Bedrohungen immer raffinierter werden und Unternehmen zunehmend digital werden, wirkt sich die Unterbrechung des Geschäftsbetriebs durch Cybersicherheitsangriffe oft auf jeden Aspekt eines Unternehmens aus. Unternehmen, die die gestiegene Bedeutung der Cybersicherheit erkennen und ihre CISO Rolle weiterentwickeln, können eine Kultur schaffen, in der jeder Mitarbeiter und jede Führungskraft Cybersicherheit als seine Aufgabe ansieht.