Wie alle Führungskräfte sehen sich auch CISOs täglich mit Risiken konfrontiert. Für einen Chief Information Security Officer ist der Einsatz dabei besonders hoch, schließlich ist er Hüter der Kronjuwelen seines Unternehmens.
Foto: Sergey Nivens - shutterstock.com
Wenn sich CISOs nicht ausreichend auf die drohenden Risiken vorbereiten oder sie schlecht managen, ist der Karriereknick vorprogrammiert - wie nicht zuletzt einige größere Sicherheitsvorfälle der letzten Monate gezeigt haben. Und ganz aktuell der Fall Uber. Wir haben fünf Anti-Handlungsempfehlungen für CISOs zusammengetragen.
1. Unfähigkeit, Hacker zu stoppen
Wie die Fälle von Equifax und Yahoo gezeigt haben, können Unternehmen durch Hackerangriffe ernsthafte Reputationsschäden erleiden. Wenn der Hack monumentale Ausmaße annimmt und sowohl finanzielle Einbußen als auch massig unvorteilhafte PR nach sich zieht, ist es fast schon unausweichlich, dass der CISO dafür seinen Hut nehmen muss. Oder zumindest in ernsthafte Schwierigkeiten gerät.
Wenn das betroffene Unternehmen dann noch beweisen kann, dass der Chief Information Security Officer beim Patch Management oder in anderen, grundlegenden Bereichen der IT-Sicherheit geschlampt hat, ist der Ofen ganz aus.
Dabei geht es in manchen Fällen aber auch einfach darum, ein Zeichen zu setzen, wie Sean Curran vom Beratungsunternehmen West Monroe Partners weiß: "Das Unternehmen muss der Öffentlichkeit beweisen, dass es nicht untätig bleibt. In einigen Fällen ist es aber durchaus so, dass der CISO einfach nachlässig und schlecht vorbereitet war. Zum Beispiel wenn kein Incident-Response- und Recovery-Plan entworfen wurde, der die Auswirkungen abgeschwächt hätte. Im Unternehmensumfeld kommt es oft vor, dass der Fokus ausschließlich auf 'protection' liegt."
Ein CISO könne aber auch seinen Job verlieren, obwohl er gar nicht direkt für einen Data Breach verantwortlich war, sagt Zach Burns, Recruiter bei Stratus Search: "In einem Unternehmen sollte der CISO die Verantwortung für alle Mitarbeiter übernehmen, die er oder sie an Bord holt. Der Job kann also auch weg sein, wenn das Team, das der CISO um sich versammelt hat, unfähig war."
2. Zu viel Last auf den Schultern
Auch CISOs, die sämtliche Risiko-Verantwortlichkeiten im Unternehmen auf sich ziehen wollen, riskieren ihr berufliches Wohl. Denn dann definiert der CISO, was das Unternehmen in Sachen IT-Sicherheit, Risikomanagement und Compliance toleriert und was nicht.
Dabei sollte er eher als kommunikativer Vermittler zwischen den Abteilungen auftreten, wie Curran erklärt: "Das Ergebnis dieser Vorgehensweise ist, dass überhaupt nicht über Risiken kommuniziert wird. Dadurch wird wiederum die Fähigkeit des Managements beeinträchtigt, über die Höhe des Investments zu entscheiden, das nötig ist, um das Risiko in Zaum zu halten. Die Kommunikation mit dem Management über Risiken und Security ist unabdingbar - und nur so wird der CISO auch die Last los, alleine für Sicherheitslücken verantwortlich zu sein."
Auch Burns ist davon überzeugt, dass ein Chief Information Security Officer abteilungsübergreifend arbeiten sollte: "Es ist von kritischer Bedeutung, dass diese Person fähig ist, mit Führungskräften und anderen Mitarbeitern effektiv zu kommunizieren. Alles andere kann nicht nur zu einem Leistungsabfall des Teams führen, das dem CISO direkt untersteht, sondern auch alle anderen Abteilungen mit in den Abgrund reißen."
Zum Video: Das kostet CISOs den Job
3. Unhaltbare Compliance
Je nach Art und Branche seines Unternehmens sowie der Art der Daten, die geschützt werden sollen, muss ein CISO mehr oder weniger Sorgfalt walten lassen, wenn es um rechtliche Standards und Compliance-Richtlinien geht. "Ein Reporting-System, das dem CISO die Überwachung und den Schutz aller Systeme ermöglicht, ist Pflicht", meint Robert Siciliano, Sicherheitsexperte bei Hotspot Shield.
Viele Unternehmen müssen bindende rechtliche Regularien beachten, um ihre Güter oder Services an Kunden ausliefern zu können. "Wenn diese keine Zertifizierung erhalten, hat das erhebliche finanzielle Konsequenzen, die unter Umständen existenzgefährdend sind", weiß Sean Curran.
Wenn bei der Compliance geschludert wird und ein interner oder externer Auditor eine beträchtliche Sicherheitslücke aufdeckt, kann das ebenfalls zu unvorhergesehenen Kosten führen. In einem solchen Fall sind Firmen schließlich dazu gezwungen, sich mit der Vergangenheit zu befassen - statt den Fokus auf die Zukunft legen zu können.
Das wird sich auch in Zukunft nicht ändern - eher im Gegenteil, meint auch Laura DiDio, Analystin bei ITIC: "In Zeiten der allumfassenden Vernetzung wird Compliance für Unternehmen immer wichtiger. Und mit jedem Monat, der verstreicht, vervielfachen sich die Regularien und werden noch stringenter und komplexer."
Der Job des CISOs sollte es sein, so DiDio weiter, die Erfüllung rechtlicher Regularien sicherzustellen. Und zwar in enger Zusammenarbeit mit anderen Security- und IT-Führungskräften, sowie internen oder externen Rechtsexperten.
4. Unprofessionelles Verhalten
Wie in jedem anderen Job ist unprofessionelles Verhalten auch für CISOs ein No-Go, das den IT-Security-Chefsessel schnell in einen Schleudersitz verwandelt. Allerdings betrifft das nicht nur das Verhalten des Chief Information Security Officers selbst, sondern auch das seiner Teammitglieder, wie Zach Burns erläutert: "Wenn der CISO auf unangemessenes Verhalten - etwa sexuelle Belästigung - nicht reagiert, ist auch er ganz schnell weg vom Fenster."
Unter unprofessionelles Verhalten kann übrigens auch fallen, wenn man sich unangemessen auf Social-Media-Kanälen zu Wort meldet und dort Firmeninterna zur Diskussion stellt oder fragwürdige persönliche Meinungen propagiert. "Der CISO ist ein höchst sichtbares Mitglied des Unternehmens", argumentiert Burns, "und sollte äußerst vorsichtig vorgehen, wenn er seine persönliche Meinung öffentlich zur Schau stellt. Denn jede Kontroverse die vom CISO ausgeht, kann sein Unternehmen in negatives Licht rücken. Und dann ist der Drops - je nach Härtegrad - gelutscht."
Zum Video: Das kostet CISOs den Job
5. Mangelnde Zuverlässigkeit und Uptime
"Zeit ist Geld. Und Systeme, Netzwerke oder Devices die nicht laufen, kosten beides," weiß Laura DiDio. "Wenn sich die Downtime zu lange hinzieht, kann das ziemlich teuer werden. Noch dazu kann das zu korrupten Prozessen und verminderter Produktivität führen. Darüber hinaus können aber auch negative Effekte für Partnerunternehmen, Kunden und Zulieferer entstehen. Bei einem Ausfall der Sicherheitssysteme können PR-Desaster und Reputationsschäden noch hinzukommen."
Doch die Expertin weiß auch, wie CISOs das vermeiden können: "Zuverlässige und stabile Systeme gehen Hand in Hand mit einem umfassenden Backup- und Disaster-Recovery-Plan. Dazu gehört übrigens auch ein internes 'operational level agreement', das die Befehlskette im Fall einer Störung festlegt."
Ein solcher Plan sollte in jedem Unternehmen existieren und eine Liste mit Ansprechpartnern bei Drittunternehmen (etwa Cloud-Providern) beinhalten. Doch damit nicht genug: "Der CISO sollte auch in jedem Fall wissen, welche 'response times' in den Verträgen seines Unternehmens mit Cloud-Anbietern, Händlern oder anderen Service-Providern verankert sind, damit er auf Sicherheitsvorfälle angemessen reagieren und die kriminellen Hacker in ihre Schranken weisen kann", erklärt DiDio.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.