Die Rolle des CISO verändert sich. Können CISOs selbst mithalten?

Die Rolle des Chief Information Security Officer (CISO) hat sich im letzten Jahrzehnt dank der rasanten digitalen Transformation erweitert. Jetzt müssen CISOs viel geschäftsorientierter sein, viel mehr Aufgaben übernehmen und effektiv mit Vorstandsmitgliedern, Mitarbeitern und Kunden gleichermaßen kommunizieren, sonst riskieren sie schwerwiegende Sicherheitsmängel.

In einer umfassenden Presse-Frage-und-Antwort-Runde auf der CPX 2024 in Las Vegas diskutierte eine Gruppe von CISOs und Vizepräsidenten (VPs) internationaler Organisationen darüber, wie die digitale Transformation, der Druck auf das Geschäftsergebnis und mangelndes Sicherheitsbewusstsein zu einem Wandel in der Natur von Unternehmen geführt haben ihre Positionen – breit gefächert, von technisch bis sachlich und sehr sozial.

Heute, so schlugen sie vor, besteht der Unterschied zwischen einem effektiven CISO – und im weiteren Sinne einer effektiven Sicherheitskultur in einer Organisation – sowohl in sanfteren Kommunikationsfähigkeiten als auch in der Minderung von Schwachstellen und der Definition von Richtlinien. Tatsächlich setzen Sicherheitsverantwortliche, die mit letzterem erfolgreich sind, Ersteres aber vermissen lässt, ihre Organisationen am Ende größeren Sicherheitsverletzungen aus.

„Sie haben nach den Konsequenzen gefragt?“ Dan Creed, CISO bei Allegiant Travel Company, antwortete rhetorisch auf eine Frage von Dark Reading. „Fragen Sie SolarWinds, was die Konsequenzen sind. Sie hatten eine Passwortrichtlinie, ein Praktikant hat die Passwortrichtlinie nicht befolgt, sehen Sie sich die Konsequenzen an.“

Wie die digitale Transformation den CISO veränderte

„Die Rolle des CISO hat sich in den letzten 10 Jahren verändert, und wir haben es nie wirklich bemerkt“, erklärte Frank Dickson, Programm-Vizepräsident für Cybersicherheitsprodukte bei IDC, in einer separaten CPX-Pressekonferenz am 6. März.

Vor Jahren wurde die Position mit dem relativ engen Fokus auf Cyber-Risiken geschaffen, mit dem sie auch heute noch verbunden ist. Aber es hat sich ausgeweitet, erstens dank einer Verbreiterung der Angriffsfläche von Unternehmen. Typische Verstöße erforderten früher Schwachstellen in Unternehmensressourcen – denken Sie an Target, Ashley Madison und dergleichen. Heutzutage, insbesondere seit COVID, ist es so E-Mails, Telefone und andere Geräte der Mitarbeiter die stattdessen das größte Risiko für Organisationen darstellen. Da die Verantwortung für die Informationssicherheit zu einer kollektiven Verantwortung geworden ist, wurden CISOs aus ihren Silos vertrieben.

Frank Dickson informiert die Presse über den neuen Bericht von IDC; Quelle: CPX

Die digitale Transformation hat auch die IT aus ihrer isolierten Ecke direkt in den Geschäftsbereich verlagert. Dickson betonte: „Etwa 40 % aller Einnahmen für das [Global] 2000 im nächsten Jahr werden durch digitale Produkte und Dienstleistungen erzielt.“ Dadurch verändert sich der Charakter der IT von einem Kosteneinsteller zu etwas, das auf dem Weg zur Generierung von Einnahmen ist. Und wenn man darüber nachdenkt, was das bewirkt, verändert das die Rolle des CISO grundlegend.“ Je mehr Unternehmen heute die IT als Geschäftstreiber begreifen, desto stärker müssen CISOs nicht nur in die Prävention und Minderung von Cyber-Risiken einbezogen werden, sondern auch in die Beratung des Vorstands bei Geschäftsentscheidungen und in die Zusammenarbeit mit Entwicklern, Vertriebsmitarbeitern und Kunden.

Die zunehmend geschäftsorientierten Verantwortlichkeiten des CISO spiegelten sich in einer IDC-Umfrage wider, die auf der CPX veröffentlicht wurde. Von 847 befragten Führungskräften im Bereich Cybersicherheit glauben 10 %, dass die wichtigste Aufgabe eines CISO seine Führungs- und Teambildungsfähigkeiten sind, und 8 % glauben, dass es sich dabei um betriebswirtschaftliche Fähigkeiten handelt. Das tatsächliche Bewusstsein und Verständnis für Cybersicherheit sowie IT-Architektur und technische Fähigkeiten erhielten mit jeweils 12 % kaum mehr Stimmen.

Wie CISOs ihre Mitarbeiter besser unterstützen können

Es sind nicht nur CISOs sollte als Geschäftsleute fungieren – das müssen sie. „Die Konsequenz, wenn man diese Beziehungen nicht aufbaut, ist, dass man im Unternehmen eine Kultur entwickelt: ‚Nun, das liegt nicht in meiner Verantwortung.‘ Wie SolarWinds und MGM. Sie setzen ihre MFA einfach durch einen Anruf beim Helpdesk zurück, obwohl sie die Konsequenzen eines mangelnden Sicherheitsbewusstseins nicht verstehen oder erkennen“, erklärte Creed.

Die Subtilität in Creeds Argumentation – die von anderen am runden Tisch wiederholt wurde – ist wichtig. Sie betonen, dass es bei der Verhinderung von Sicherheitslücken durch Mitarbeiter nicht nur darum geht, das Bewusstsein zu schärfen, denn selbst sachkundige Mitarbeiter ignorieren die Sicherheit, wenn die Beziehung zu ihrem Sicherheitsteam nicht in Ordnung ist oder die Hygiene einfach zu aufwändig ist.

„[Sie sagen] Sicherheit sollte verborgen bleiben. Ich gehe noch einen Schritt weiter: Sicherheit sollte das Geschäft voranbringen und beschleunigen“, sagte Pete Nicoletti, Field CISO bei Check Point, und greift damit die weiterentwickelte Philosophie des modernen CISO auf. Er führt VPNs als Beispiel dafür an, wo eingeschränkte, altmodische CISOs traditionell das Geschäft verlangsamt haben. „Wie lange hält das meine E-Mail: zwei Sekunden oder zehn Sekunden? Wie lange dauert die VPN-Anmeldung? Werden [Mitarbeiter] das Problem umgehen, weil es 10 Sekunden und die Authentifizierung dauert? [Es geht darum] zu versuchen, diese so transparent und benutzerfreundlich wie möglich zu gestalten. Fangen Sie an, Tools auszuwählen, die den Prozess tatsächlich beschleunigen, sodass Sie jetzt einen Wettbewerbsvorteil haben.“

„Einige meiner ersten Initiativen, die ich vorantreibe, sind genau das“, unterstützte Creed. „Lassen Sie uns vom VPN wegkommen und hin zu einem Always-On-System, bei dem Sie Ihren Laptop einschalten, hochfahren, mit unserem Netzwerk verbunden sind und unseren Sicherheits-Stack durchlaufen. Das nächste Ziel besteht darin, dass wir jetzt den Grundstein für die Umstellung auf passwortlose Lösungen legen.“

Wenn es nicht ausreicht, mit den Mitarbeitern zu sprechen und ihnen die Sicherheit zu erleichtern, können CISOs auch mit alternativen Anreizen experimentieren. „Wir haben tatsächlich KPI-Kennzahlen zur Sicherheitskultur. Und wir bereiten uns so weit vor, dass wir damit beginnen werden, die Bonuspools tatsächlich zu beeinflussen. Wenn Ihre Abteilung besser abschneidet, erhöht sich Ihr Bonuspool über die Norm hinaus [. . .] und wenn Sie dies nicht tun, wird Ihr Bonus erreicht“, erklärte Creed.

Wie CISOs besser mit anderen Führungskräften zusammenarbeiten können

Dann ist da noch die Tafel.

In seiner Umfrage fragte IDC CISOs und ihre CIO-Kollegen, was CISOs tatsächlich tun – etwa, ob sie sich auf strategische Architektur konzentrieren oder ob der Job von Natur aus taktischer Natur ist – und stellte nicht unerhebliche Diskrepanzen in den Antworten fest, was darauf hindeutet, dass sogar die CISOs „Die engsten C-Level-Partner sind nicht völlig einer Meinung.

Creed erinnerte sich kürzlich an einen solchen Fall, bei dem „wir einige neue 737 bestellt haben. Und das sind unsere ersten elektrisch vernetzten Flugzeuge. [Der Vorstand] hat mich in die früheren Gespräche nicht einbezogen, und dann wurde es zu einer Notfallübung, dass alle neuen Flugzeuge mit elektronischer Vernetzung Cybersicherheitsanforderungen haben – und zwar, wenn man keinen Netzwerksicherheitsplan hat, der genehmigt und akzeptiert wurde Wenn Sie gemäß den Unterlagen der FAA Ihre Lufttüchtigkeitsbescheinigung für diese Flugzeuge verlieren. Glauben Sie, dass der Vorstand, als er zum ersten Mal darüber sprach, den Weg „Wir werden die Flotte erweitern“ einzuschlagen, berücksichtigt hat, dass dies Auswirkungen auf die Sicherheit haben könnte?“

„Man muss sie also aufklären und ihnen erklären: Deshalb brauchen wir einen Platz am Tisch. Jede strategische Entscheidung, die für das Unternehmen getroffen wird, birgt Risiken. [. . .] Je mehr du Bitten Sie uns, an diesem Tisch Platz zu nehmen„Umso besser können wir das Unternehmen schützen und abwägen, wo das Risiko zu Beginn entsteht, und nicht erst, wenn es zu einem Brand wird“, sagte er.

Zu diesem Zweck gab Russ Trainor, Senior Vice President für Informationstechnologie bei den Denver Broncos, in einem Interview mit Dark Reading einen einfachen Tipp:

„Manchmal leite ich Neuigkeiten über die Verstöße an meinen CFO weiter: Hier sehen Sie, wie viele Daten exfiltriert wurden, und hier erfahren Sie, wie viel es unserer Meinung nach gekostet hat“, sagt er. „Solche Dinge treffen in der Regel ein.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cybersecurity-operations/ciso-role-changing-can-cisos-keep-up