In den letzten Beiträgen haben wir uns mit dem CDIO und dem CIO bzw. dem CTO befasst. Es ging um Fragen wie: Wo sind die Abgrenzungen, wer ist zukunftsfähig und welche Befähigungen hat diese Person? Heute wollen wir uns mit jemandem beschäftigen, der häufig der IT zugeordnet wird, aber im Grunde nicht Teil dieser Einheit sein darf. Es handelt sich um den Chief Information Security Officer.

Der Chief Information Security Officer – kurz CISO genannt – ist im Unternehmen der Gesamtverantwortliche für die Informations- und Datensicherheit. Sein Aufgabengebiet erstreckt sich über alle Unternehmensbereiche, sei es Cyber Security, Datenverlust und Betrug, oder gar die Archivierung von Dokumenten und Akten. Selbst die Zugangskontrolle oder das Identitätsmanagement fallen in seinen Bereich. Im Schadensfall ist der Sicherheitschef der Erste, der ein Statement abgibt und dem CEO Bericht erstattet.

Der CISO ist ein Brückenbauer zwischen den Abteilungen. Sie oder er verantwortet die IT-Security-Strategie, passt diese den Unternehmenszielen an und sorgt so für einen sicheren und reibungslosen Ablauf aller Unternehmensprozesse. Im Zuge der Digitalisierung und der damit verbundenen notwendigen Öffnung der eigenen Systeme hinsichtlich diverser Softwareapplikationen, Cloud Anbietern etc. nimmt die Gefahr stetig zu.

Der Sicherheitschef muss hier ganzheitlich denken, denn die Security betrifft das gesamte Unternehmen. Aus diesem Grunde sollte diese Rolle auch nicht an den CIO/CTO berichten: Gibt es sicherheitsrelevante Systeme, die die IT gerne installieren möchte, tendiert der CISO dazu, diese sicher abzuschirmen und somit möglicherweise auf die 100%ige Performance zu verzichten. Würde hier der CISO an den CIO/CTO berichten, wäre ein Konflikt vorprogrammiert.

Unternehmen tun gut daran, den Sicherheitschef eines Unternehmens direkt an den CEO berichten zu lassen. So erhält er oder sie wesentlich mehr Durchsetzungskraft und ist in der Lage, alle Aspekte des Unternehmens zu berücksichtigen – und nicht nur aus der Sicht der IT-Abteilung.

Der Chief Information Security Officer ist der oder die „Schutzpatron:in“ eines jeden Unternehmens: Sie oder er etabliert eine Sicherheitsarchitektur, steuert das Identity Management, stellt Trainings und Awareness-Schulungen für jeden Mitarbeitenden zur Verfügung und berät das Top Management. Typischerweise verfügt der CISO über exzellente Kommunikationsfähigkeiten, Durchsetzungsvermögen, aber auch eine gute Portion Empathie – muss er doch manchmal den ein oder anderen mehrmals von der Notwendigkeit sicherer Systeme überzeugen.

Branchenkenntnisse sind wichtig, um unternehmenstypische Abläufe zu verstehen, langjährige Berufserfahrung versteht sich von selbst. Der CISO gilt nur so lange als „Spielverderber“, bis es zum sicherheitsrelevanten Vorfall kommt, denn dann verwandelt er sich wie einst Clark Kent zu Superman – oder halt zum „Security Man“.

Haben Sie Fragen? Sprechen Sie uns an!

Matthias Cescatti | E-Mail: matthias.cescatti@kienbaum.de | Tel.: +49 89 458 778-74
Timo Lüscher | E-Mail: timo.luescher@kienbaum.de | Tel.: +49 175 800 58 63

Weitere Informationen zu unseren Leistungen und Ansprechpartner:innen im Bereich Digital, Media & Technology finden Sie hier:

Unsere Expertise im Bereich Digital, Media & Technology