Mit der Globalisierung wachsen die Risiken. Je größer und verzweigter ein Unternehmen ist, je mehr externe Schnittstellen existieren, desto verwundbarer werden die IT-Systeme. Die 2.000 größten Unternehmen der Welt haben das offenbar erkannt: Den Prognosen zufolge, werden bis 2008 65 Prozent von ihnen einen CISO benannt haben.
Vor allem bei europäischen Unternehmen sei die Rolle des CISO entscheidend. Anders als US-amerikanische Firmen sind Betriebe auf dem Kontinent oft weniger stark zentralisiert. Entsprechend wichtig ist ein zentraler Ansprechpartner. Der CISO übernimmt die Vorreiterrolle bei der Etablierung einer Sicherheits-Policy, die dann unternehmensweit umgesetzt werden kann.
Entsprechend ist innerhalb der vergangenen zwei bis fünf Jahre der strategische Aspekt der IT-Sicherheit zunehmend wichtiger geworden. Die CISOs kümmern sich immer weniger um das Tagesgeschäft der IT, sondern sind zunehmend in langfristige Geschäftsentscheidungen involviert. Sie sind dafür verantwortlich, Risiken zu benennen und vor allem zu bewerten.
Um dieser Aufgabe gerecht zu werden, so Proctor, sollten Sicherheitsverantwortliche nicht nur technisches Know-how, sondern auch ausgeprägte Manager-Eigenschaften mitbringen. Schließlich müssen IT-Risiken an höchste Entscheidungsgremien in den Unternehmen kommuniziert werden. Herausragende schriftliche und mündliche Kommunikationsfertigkeit sei deshalb entscheidend. Daran, so Proctor, habe es vielen CISOs bisher gemangelt. Sie hätten sich zu sehr auf technische Aspekte konzentriert.
Heute dagegen spiele der CISO in immer mehr Unternehmen eine von der IT-Abteilung unabhängige Rolle und berichtet direkt - oder indirekt - an den Finanz- oder Risikovorstand. Vor allem in hoch regulierten Branchen wird das Reporting des CISOs als wichtiger Bestandteil der Governance angesehen. "Die Führungskräfte haben endlich erkannt, wie wichtig ein realistisches Bild der Risiken für die IT ist", sagte Paul Proctor. Den Managern sei klar, dass es hundertprozentige IT-Sicherheit nicht geben könne und dass technologische Lösungen alleine nicht ausreichen.
CISO wird zum Risiko-Manager
Langfristig werde sich die Rolle des CISO deshalb zu einem Risiko Management Officer (RSO) weiter entwickeln müssen. Er sollte auf Vorstandsebene angesiedelt sein und strategische, taktische und technische Notwendigkeiten gegeneinander abwägen können. "Die Stärke des RSO liegt darin, Fragen der IT-Sicherheit und des Risiko Managements vermitteln zu können, ohne auf technische Details einzugehen."
Die meisten Unternehmen seien über die Phase der Erkenntnis über die entscheidende Rolle des CISO bisher aber noch nicht hinaus gekommen. Sie arbeiteten gerade daran, ihre IT-Sicherheitsstrukturen entsprechend zu organisieren und neue Richtlinien zu entwickeln. Weniger als fünf Prozent hätten ihre Organisation schon neu ausgerichtet und arbeiteten bereits daran, Best Practies weiterzuentwickeln.
Proctor hat für Unternehmen deshalb sechs Empfehlungen formuliert, mit denen sie ihre Geschäfte langfristig gegen IT-Risiken absichern können:
-
Benennung eines CISOs mit guten kommunikativen Fähigkeiten, der die Geschäftsprozesse versteht.
-
Entwicklung eines prozessorientierten Sicherheitsprogramms.
-
Das Risiko-Management sollte eindeutig bei einer Position verortet sein, um Kompetenzstreitigkeiten zu verhindern.
-
Entwicklung eines Programms zum kontinuierlichen Risiko-Assessment.
-
Der Stand der IT-Sicherheit sollte regelmäßig überwacht, gemessen und an die Führungsebene kommuniziert werden.
-
Sicherheitsmechanismen der IT müssen eindeutig verantwortet, transparent und messbar gemacht werden.
Die Analyse stellte Paul Procter auf dem Gartner Security Summit Mitte September in London vor.