fizkes | shutterstock.com
Nie stand mehr auf dem Spiel. Jede Woche machen neue Cybersicherheitsvorfälle Schlagzeilen, kosten Millionen, fügen der Status von Unternehmen irreparablen Schaden zu und treten neue Wellen der Verunsicherung los, die sich gleichermaßen auf Kunden und Stakeholder auswirken.
Die wesentliche Frage ist dabei: Wer haftet, wenn etwas schiefgeht? Man könnte meinen, CISOs und Sicherheitsentscheider stehen hier in der Pflicht. Allerdings ist das schwierig, wenn ihnen nicht die nötigen Befugnisse, Ressourcen und Unterstützung zuteilwird, um effektiv zu handeln. Das Downside ist nicht, dass es uns an Strategien, Instruments oder Insights mangeln würde. Es wurzelt vielmehr in der derzeit verbreiteten Organisationsstruktur, die CISOs oft nicht die Autonomie zugesteht, die sie brauchen.
Stellen Sie sich vor, Sie bitten Ihren CFO, finanzielle Risiken zu managen, aber ohne Zugriff auf Budgets. Oder Ihren COO, den Betrieb zu überwachen, aber ohne dabei die Kontrolle über die Prozesse zu haben. Genau das ist für viele CISOs heute Realität: Rechenschaftspflicht ohne Autorität, Verantwortung ohne Autonomie. Das konterkariert nicht nur sämtliche Cybersecurity-Initiativen und -Bemühungen, sondern verhindert auch, dass Sicherheitsentscheider zum strategischen Companion werden. So bleiben CISOs oft bei Diskussionen außen vor, die über die künftige Ausrichtung des Unternehmens bestimmen.
Egal, ob es darum geht, ein neues Produkt einzuführen, in einen neuen Markt einzutreten oder Fusionen respektive Übernahmen abzuwickeln – der Aspekt der Cybersicherheit sollte von Anfang an in diesen und anderen Entscheidungsprozessen eine tragende Rolle spielen. Werden Sicherheitsentscheider erst hinzugezogen, wenn die Entscheidungen bereits getroffen sind, entstehen reaktive, Flickwerk-artige Lösungen, die zwar mehr kosten, aber weniger Wirkung zeigen.
Dem CISO einen Platz am Entscheidertisch einzuräumen, ist additionally weniger eine symbolische Geste, denn eine praktische Notwendigkeit. Das ermöglicht:
- Sicherheitsstrategien an Geschäftszielen ausrichten,
- Risiken zu erkennen, bevor sie zu Problemen werden, und
- sicherzustellen, Chancen möglichst frei von unnötigen Risiken wahrnehmen zu können.
Falls Sie jetzt Zweifel daran haben, ob Ihr CISO dazu überhaupt in der Lage ist, sollten Sie sich Gedanken machen: Haben Sie ihn mit den Ressourcen und Befugnissen ausgestattet, die er benötigt, um effektiv führen zu können? Haben Sie sich eventuell mit jemandem zufriedengegeben, der besonders günstig battle? Auch wenn es um CISOs geht, gilt: Man bekommt, wofür man bezahlt. Leider ist es keine Seltenheit, dass hervorragende Führungskräfte, die sowohl mit Blick auf Sicherheit als auch strategischen Wert abliefern können, zugunsten von besonders günstigen, aber oft auch nicht gleichermaßen kompetenten Kandidaten das Nachsehen haben. Falls Ihr CISO additionally den genannten Herausforderungen tatsächlich nicht gewachsen sein sollte, ist das nicht nur seine Schuld – sondern auch die derjenigen, die ihn eingestellt haben.
Ein CISO sollte mehr tun, als nur Budgets zu genehmigen und Instruments freizugeben. Er sollte ein Umfeld schaffen, in dem Safety als geschäftsfördernd und nicht als hinderlich begriffen wird. Wie Sicherheit allgemein innerhalb Ihrer Organisation wahrgenommen wird, hängt dabei auch ganz maßgeblich von Ihnen – dem CEO – ab. Nehmen Sie den CISO als technischen Berater oder „notwendiges Übel“ wahr, wird sich das auch innerhalb der Belegschaft etablieren. Sehen Sie den Sicherheitsentscheider hingegen als integralen Bestandteil Ihres Führungsteams, senden Sie damit eine starke Message. Nämlich, dass es bei Safety nicht nur darum geht, Probleme zu vermeiden, sondern auch darum, Erfolg zu ermöglichen.
Mein Appell an Sie lautet deshalb: Reflektieren Sie über die derzeitige Rolle Ihres Sicherheitsentscheiders. Erkennen Sie den Wert Ihres CISO an und geben Sie ihm die Plattform, die er benötigt, um Mehrwert zu liefern. Es könnte Ihre Enterprise-Strategie maßgeblich bereichern.
Mit freundlichen Grüßen,
Ihr Tyler Farrar
Chief Info Safety Officer
(fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.