Ein CISO braucht mehr als nur Fachwissen
Position des Chief Information Security Officer
von Andreas Fischer - 23.04.2015
EnBW: Der CISO des Konzerns zählt die Sensibilisierung der Mitarbeiter zu seinen wichtigsten Aufgaben.
Hannigan geht noch einen Schritt weiter und fordert einer neuen CISO-Studie von IBM zufolge, dass „IT-Verantwortliche ihren steigenden Einfluss dazu verwenden müssen, bessere Ergebnisse zu erreichen“. Außerdem sollten sie die Absicherung wichtiger Unternehmensbereiche vorantreiben und Fachkräfte rekrutieren.
Die Autoren der Studie sehen darin ein grundsätzliches Manko: „Die Sicherung gegen Angreifer von außen scheint also für den CISO weniger ein Problem darzustellen als der gleichberechtigte Austausch mit den eigenen Mitarbeitern.“ Wolfgang Reibenspies von EnBW mag dem nicht zustimmen: „Die Zusammenarbeit mit den Fachbereichen ist sehr gut. Reibungen gibt es nicht, sehr wohl aber unterschiedliche Auffassungen, die dann kollegial und kollektiv diskutiert werden.“ Auch Michael Lardschneider von der Munich Re sagt: „Über mangelnde Aufmerksamkeit können sich viele CISOs nicht mehr beklagen.“
Michael Lardschneider, CSO bei Munich Re: „CISOs brauchen eine dicke Haut und dürfen sich nicht entmutigen lassen.“
Gesteuert werde diese „Sicherheitsorganisation durch den CSO, der im Risiko-Management sitzt und letztlich dem Chief Risk Officer untersteht“. Der CISO sei dagegen nach wie vor Mitglied der IT-Organisation, für die der CIO (Chief Information Officer) verantwortlich ist.
Um die Kollegen zu informieren, verwenden viele CISOs ein Intranet oder sie bauen ein internes Netz mit Multiplikatoren auf, die an verschiedenen Stellen im Unternehmen postiert sind und die Mitarbeiter über neue Sicherheitsrisiken oder über geänderte Regeln informieren. Teils sei es sogar nötig, die Kollegen überhaupt erst auf die Existenz diverser verbindlicher Richtlinien aufmerksam zu machen, bemängeln manche der befragten Praktiker.