Die Besetzung des CIO- und des CISO-Postens mit ein und derselben Person würden viel Unternehmen ablehnen, weil sie einen Interessenskonflikt fürchten. Sie sehen den CISO für nichts anderes in der Pflicht als für IT-Sicherheit, Risikomanagement und die Einhaltung von Compliance-Vorgaben in der IT. Sein Team analysiert und überprüft die Sicherheit der Infrastruktur, die wiederum in der Verantwortung des CIO liegt. Cohesity, Hersteller von Backup- und Recovery-Lösungen, hat sich anders entschieden: Brian Spanswick ist CIO und CISO in Personalunion.
In den meisten Unternehmen sind die Rollen des CISO und des CIO getrennt. Sie jedoch haben beide Positionen inne. Wie kam es dazu?
Spanswick: Ich hatte von Anfang das Privileg, sowohl das SecOps- als auch das ITOps-Team zu leiten. Damit bin ich gleichzeitig für die Sicherheit und die Verwaltung der Geschäftsprozesse zuständig. Unternehmen sollten nicht auf Sicherheit an sich, sondern auf den sicheren Betrieb ihrer Geschäftsprozesse fokussiert sein. Aus diesem Grund müssen IT und SecOps eng zusammenarbeiten. Das macht also auf mehreren Ebenen Sinn.
Meistens berichtet der CISO an den CIO, das geht ja in Ihrem Fall nicht. An wen berichten Sie?
Spanswick: Ich berichte an den Chief Financial Officer. Das passt gut zusammen, weil der CFO eine eher allgemeine Rolle im Unternehmen hat. Er verantwortet die Finanzplanung und das Budgetmanagement. Ich bin froh, an ihn zu berichten und gemeinsam mit ihm Business Cases entwickeln zu können, die wir dann dem Vorstand vorlegen.
"Als CISO war es leichter an Budget zu kommen"
Der Vorstand muss in Ihrem Fall die Budgets für Cybersicherheitslösungen freigeben. Wie stark müssen Sie dafür kämpfen?
Spanswick: Als ich in meiner CIO-Rolle nach Budget fragte, um die Infrastruktur zu erneuern, war es eine harte Diskussion. Als ich jedoch als CISO neue Hardware kaufen wollte, war es viel leichter.
Warum gibt es diese unterschiedliche Sicht?
Spanswick: Cyberangriffe und die hohe Zahl von Ransomware-Attacken sind in den Medien omnipräsent, wodurch diese Themen beim Vorstand oben auf der Prioritätenliste stehen. Es ist verständlich, dass jede Maßnahme zur Abwehr solcher Risiken erst einmal positiv gesehen wird und es für den CISO einfacher ist, Geld dafür zu bekommen. Also CIO ist man dagegen gefordert, den IT-Betrieb effizient zu gestalten. Die Ausgangslage ist also eine andere.
Wie oft sind Sie mit dem CFO und dem Vorstand im Austausch?
Spanswick: Mit dem CFO bin ich in ständigem Austausch und dem Vorstand berichte ich vierteljährlich.
Was empfehlen Sie in Ihrer Rolle als CISO anderen IT-Sicherheitsverantwortlichen, um ein gutes Verhältnis zum Vorstand oder zur Geschäftsführung aufzubauen?
Spanswick: CISOs sollten sich darüber im Klaren sein, dass der Vorstand die Konsequenzen tragen muss, wenn es einen Datenschutzvorfall gibt und Kundendaten verlorengehen. Deshalb ist es unsere Aufgabe, der Geschäftsführung ehrlich aufzuzeigen, welchem Risiko sie ausgesetzt ist und welche Maßnahmen Sinn machen, um dieses Risiko zu senken. Ist diese Vertrauensbasis geschaffen, kann der Vorstand eine gut informierte Entscheidung darüber treffen, wofür Budget freigegeben wird und wofür nicht. Man könnte sagen: Der Vorstand ist der größte Kunde des CISOs.
Welche Eigenschaften sind Ihrer Meinung nach die wichtig für einen guten CISO?
Spanswick: Er muss kritisch denken können und auch mal Maßnahmen hinterfragen. Für verschiedene Sicherheitsrisiken sollte der CISO mehrere Optionen und Herangehensweisen anbieten können. Am wichtigsten ist es aber, dass er in der Lage ist, einen positiven Einfluss auf das Unternehmen zu haben - auch wenn er nicht die volle Kontrolle hat.
Dass sich jeder Mitarbeiter zu jeder Zeit sicherheitsbewusst verhalten wird, werde ich als CISO nie erzwingen können. Aber ich kann immer wieder mit den Menschen sprechen, ihnen die Bedeutung von Cybersicherheit nahebringen und ihnen zeigen, was sie in ihrem Alltag beitragen können. Das gleiche gilt für den Vorstand. Letztendlich wird der Vorstand die Entscheidungen treffen, aber der CISO kann ihn gut beraten und somit helfen. Man sollte nicht den Anspruch haben, die Sicherheitslage im Unternehmen zu 100 Prozent zu kontrollieren. Stattdessen muss es das Ziel sein, die Auswirkungen von Cyberattacken mit geeigneten Maßnahmen zu verringern. Und das schaffen wir nur als Team.
Security- Koryphäen schließen sich zusammen Auf der Hausmesse ReConnect stellte Cohesity im November die "Data Security Alliance" vor. Im Rahmen dieser Allianz wollen die Unternehmen Cohesity, BigID, Cisco, CrowdStrike, CyberArk, Okta, Palo Alto Networks, Securonix, Splunk, Tenable, Mandiant und PwC ihr Security Knowhow zusammenbringen, um die Abwehr von Cyberangriffen zu verbessern und neue Sicherheitsstrategien zu entwickeln. So können die Mitglieder des Zusammenschlusses zum Beispiel die KI-basierte Anomalie-Erkennung von Cohesity nutzen, um ihre eigenen Technologien zu ergänzen. Durch den Austausch von Lösungen und Erkenntnissen sollen Synergien entstehen, die letztendlich den Kunden mehr Sicherheit bieten. |
Wie wird sich die Rolle des CISOs Ihrer Meinung nach in den kommenden Jahren entwickeln?
Spanswick: Ich denke in den nächsten Jahren wird es immer mehr Rollen wie meine geben. In den vergangen Jahren haben wir schon gesehen, wie sich die Rolle des IT-Sicherheitsverantwortlichen gewandelt hat. Es geht nicht mehr nur darum, Zertifizierungen zu absolvieren, um die Compliance-Richtlinie zu erfüllen.
Heute verfolgen CISOs einen Ansatz, der sich auf das Risiko fokussiert, dem ein Unternehmen ausgesetzt ist. Es geht vor allem darum, das Unternehmen resilient zu machen. Ich kann in meiner doppelten Rolle eine vollständige Datensicherheitsstrategie entwickeln und durchsetzen. So bringe ich diese beiden Welten zusammen.
Lesetipp: 11 Fakten über den Job eines CISO