Da Cybersicherheit zu einem immer wichtigeren Aspekt bei Unternehmensentscheidungen geworden ist, gab es entsprechende Schritte, um die Rolle des Chief Information Security Officer (CISO) an eine höhere Stelle in der Führungshierarchie zu heben. Die Begründung scheint zu lauten: „Wenn Cyber wichtig ist, müssen CISOs wichtig sein.“ Durch die Aufwertung der Rolle wird der CISO jedoch zu einer einsamen Stimme in der Wüste, die „Sicherheit“ schreit und kaum Kontakt zu den alltäglichen Entscheidungsträgern in den Bereichen IT, Technik oder Produkte hat.
Dies hat zu einigen unerwünschten Konsequenzen geführt, wie zum Beispiel, dass der Facebook-Manager es für in Ordnung hielt, die Sicherheitsmaßnahmen des Unternehmens einzuhalten verursachte stundenlange Verzögerungen als Reaktion auf den Ausfall am 4. Oktober 2021 oder den Uber-Manager wer Hacker ausgezahlt der gegen sein System verstoßen hat, anstatt den Verstoß anzuerkennen, oder die zahlreichen CISOs, die in „zusätzliche Sicherheitsebenen“ investiert haben, anstatt zuzugeben, dass sie anfangs schlechte Entscheidungen getroffen haben. In all diesen Fällen spielte zweifellos die Isolation des CISO von funktionalen Geschäftseinheiten eine Rolle bei dem Tunneldenken, das diese Entscheidungen widerspiegeln.
Organisatorische Auswirkungen
Vielleicht ist es an der Zeit, die Rolle des CISO neu zu definieren. Vielleicht ist es besser, die Bedeutung des CISO eher in den organisatorischen Auswirkungen als im organisatorischen Status zu sehen. Möglicherweise führt die Einbettung der Sicherheit in Funktionseinheiten zu einer besseren Sicherheit.
Stellen Sie sich den CISO als Teil des Ökosystems der IT-Organisation vor. Sie wären in jede Entscheidung über die Infrastruktur eingebunden, und Sicherheitsbedenken wären integraler Bestandteil dieser Entscheidungen und würden nicht im Nachhinein angesprochen. Dies würde eine Reihe von „Sicherheits“-Lösungen ermöglichen, die auf der Struktur und Verwaltung des Netzwerks basieren und nicht auf speziellen Sicherheitsfunktionen, die von einer externen Gruppe in die Infrastruktur eingefügt werden.
Stellen Sie sich einen Sicherheitsexperten vor, der in die Softwareentwicklungsorganisation eingebettet ist. Sie könnten den Entwicklungsprozess verfeinern, um sicherzustellen, dass Code unter Berücksichtigung der Sicherheit geschrieben und getestet wird, ohne den Entwicklern Prozesse aufzubürden, die ihnen fremd sind, und so die Schwachstellen im Code des Unternehmens verringern. Stellen Sie sich einen Sicherheitsexperten vor, der in Produktlinien eingebettet ist. Sie könnten sicherstellen, dass die Unternehmensinfrastruktur ihr geistiges Eigentum schützt und dass ihr Entwicklungsprozess die Schwachstellen in ihrem Produkt verringert.
In all diesen Fällen wird Sicherheit zu einem Faktor bei Unternehmensentscheidungen, der auf der Realität des Unternehmensbetriebs basiert. Das technische Fachwissen des CISO wird zu einem integralen Bestandteil der täglichen Arbeit und stellt keinen Zwang dar, der ihm auferlegt wird. Ebenso müssen Sicherheit und Compliance reibungslos funktionieren, damit Finanzsysteme und die Kommunikation mit Partnern und Anbietern sicher bleiben. Dies erstreckt sich auf Telekommunikationssysteme und andere Hardware.
Der Risikofaktor
Dies scheint eine wirkungsvollere Möglichkeit zu sein, der technischen Dimension der Sicherheit eine starke Stimme bei der Unternehmensführung zu verleihen. Man könnte sich jedoch fragen, ob dies die politische Dimension schmälert und sie auf die besonderen Interessen einzelner Funktionseinheiten konzentriert. Diesem Problem kann Rechnung getragen werden, indem die Rolle des Chief Risk Officer auf die sicherheitspolitischen Funktionen ausgeweitet wird, die derzeit vom CISO wahrgenommen werden.
Dies hat den Vorteil, dass die Sicherheitspolitik auf der C-Ebene bleibt und dort die Aufmerksamkeit erhält, die sie benötigt. Der weitere Vorteil besteht darin, dass das Cybersicherheitsrisiko im Zusammenhang mit anderen Risiken (Verfügbarkeitsrisiko, Reputationsrisiko, um die oben genannten Fälle zu behandeln) betrachtet wird. Sicherheit wäre kein Selbstzweck mehr, sondern eine Dimension der Geschäftstätigkeit. Das bedeutet nicht, dass die Sicherheit sich mit anderen Anliegen auseinandersetzen und Vorkehrungen treffen muss, die die Sicherheitslage des Unternehmens gefährden. Vielmehr schafft es eine Umgebung, die die Entweder-Oder-Mentalität durch eine ersetzt, die alle Anforderungen erfüllen möchte.
Es gibt zahlreiche Zugangskontrolltechnologien, die Facebook wirksam geschützt hätten, ohne das eigene Personal auszusperren. Wenn das Sicherheitsrisiko zusammen mit dem Verfügbarkeitsrisiko berücksichtigt wird, würden sich diese pragmatischeren Lösungen ergeben.
