5 Gründe

Warum Sie einen Chief Trust Officer brauchen

28.09.2022

Von

Mike Arrowsmith leitet als Chief Trust Officer bei NinjaOne alle Sicherheits- und IT-Initiativen. Der ehemalige Sicherheitschef von Splunk legt einen besonderen Fokus auf die Evaluierung und Optimierung der Security-, IT- und DevOps-Infrastruktur.

Alle Posts des Autors

Die Verantwortung für Datenschutz und Compliance gehört ins C-Level-Management. Dafür genügt es nicht, den IT-Leiter in CIO umzubenennen. Doch braucht man dafür eine neue Management-Position? Und wenn ja, welche Fähigkeiten verlangt diese?

Die Person mit dem fach- und bereichsübergreifenden Überblick - das sollte der Chief Trust Officer sein.
Foto: Cartoon Resource - shutterstock.com

In vielen Unternehmen - aber längst nicht allen - gibt es inzwischen neben der CIO-Rolle einen Chief Information Security Officer (CISO). Dies zeigt, welche Bedeutung Security-Themen beigemessen wird. Und das zu Recht, denn Verstöße gegen Datenschutz-Richtlinien oder Cyberattacken, die nicht vereitelt werden können, kosten nicht nur viel Geld, sondern auch das Vertrauen der Kunden. Im digitalen Zeitalter hängt schnell die Existenz des gesamten Unternehmens davon ab, wie sicher es im digitalen Raum agiert.

Die bisherigen Verantwortlichkeiten greifen inzwischen zu kurz. Während CIOs häufig noch immer vor allem die Infrastrukturthemen bearbeiten, ergänzen CISOs diese mit Sicherheitsstrategien: von abteilungsübergreifenden, DSGVO-konformen Datenschutzkonzepten über Compliance-konformes Sourcing bis hin zu Zugangskontrollen und sicheren IoT-Anwendungen. Aber schon diese Aufzählung zeigt, wie Silo-artig die Herangehensweise in der Praxis ist. Strukturen in Unternehmen wachsen eben über längere Zeiträume hinweg organisch und können nur äußerst selten von oben nach unten organisiert aufgebaut werden.

5 Gründe für einen Chief Trust Officer

Chief Trust Officers (CTrO) sollen alle Belange rund um Sicherheit und IT-Security zusammenbringen - und zwar immer: Bei jedem Projekt, bei jeder Initiative und bei jeder mehr oder minder strategischen Unternehmensentscheidung sollten Datenschutz und Datensicherheit von Beginn an mitgedacht werden. Hier die fünf wesentlichen Gründe, warum Betriebe CTrOs brauchen.

1. Das Vertrauen der Geschäftspartner für nachhaltigen Geschäftserfolg bewahren

Ob Lieferanten und Kunden zu langjährigen Geschäftspartnern werden, hängt entscheidend vom gegenseitigen Vertrauen ab. In einer digitalen Geschäftswelt heißt das im Klartext: Die großen Mengen an geschäftlichen Daten sind wertvoll, bisweilen geschäftskritisch. Sie sind zu schützen und entsprechend sensibel zu behandeln - und das nicht nur rein technisch durch Verschlüsselungsalgorithmen oder Identity Management.

Es geht außerdem um das große Ganze: eine seriöse Geschäftsethik in Bezug auf den digitalen Raum insgesamt. Das mag etwas pathetisch anmuten, ist für eine vertrauensvolle Zusammenarbeit mit den Geschäftspartnern aber unerlässlich. CTrOs sind dafür verantwortlich, dass das Unternehmen sich selbst eine Strategie auferlegt, in der langfristige Sicherheit nach innen und außen der Maßstab ist. Das Ziel besteht darin, die Integrität des Unternehmens sicherzustellen.

2. Datenschutz und Datensicherheit als Grundprinzip jeder unternehmerischen Entscheidung

Die übergreifende, Vertrauen schaffende und Vertrauen erhaltende Unternehmensstrategie muss kontinuierlich mit Leben gefüllt werden. Monetäre Aspekte, sprich Umsatz und Gewinn, bekommen nun eine neue Flanke: Genau wie beispielsweise Umweltverträglichkeit oder soziale Aspekte bei unternehmerischen Initiativen eine Rolle spielen, tun dies nun auch Datenschutz und Datensicherheit.

Bei der Entwicklung neuer Angebote etwa, der Definition der Unternehmensstrategie für die nächsten Jahre oder der Wahl von Dienstleistern und Zulieferern - stets hinterfragt ein CTrO, ob alles dem eigenen Sicherheitsmaßstab entspricht. Aber statt, wie bisher, Sicherheit und Trust in ein bereits entwickeltes Produkt oder eine bestehende Geschäftsbeziehung einzubauen, werden sie nun zur Grundvoraussetzung von Beginn an. Nur so können Unternehmen sicherstellen, dass die Sicherheitsstrategie übergreifend umgesetzt wird und nicht einzeln je Projekt, Anwendung, Abteilung oder Silo.

3. Compliance und Governance sinnvoll verbinden

Was nach einer Selbstverständlichkeit klingt, ist in der Praxis heute vielerorts noch immer nicht angekommen: Compliance und Governance gehören untrennbar zusammen und sollten nicht von unterschiedlichen Personen verantwortet werden. Während der Fokus bei der Definition von Compliance-Richtlinien auf dem Unternehmen und seinem Schutz liegt, kommt die Governance-Sicht - also der Blickwinkel der Regulierer - oft zu kurz. Werden beide Themengebiete in ihrer Abhängigkeit voneinander betrachtet, lassen sich zwei Fliegen mit einer Klappe schlagen: Regulatorische Anforderungen werden erfüllt und das Unternehmen zugleich sinnvoll vor wirtschaftlichen und reputatorischen Schäden geschützt. Grund genug, diese Aufgaben in der CTrO-Rolle zusammenfließen zu lassen.

4. Sicherheits-Initiativen vorausschauend und gezielt vorantreiben

Eine Position im Unternehmen, die sich ausschließlich um Sicherheits- und Trust-Themen kümmern kann, ist zweifelsohne besser als jemand, der diese Aufgaben zusätzlich zu seinem Tagesgeschäft erledigen soll. Daten- und Infrastruktur-Silos lassen sich nicht von heute auf morgen homogenisieren, der Weg in die Cloud und die digitale Transformation nicht nebenbei erledigen. CTrOs können diese und ähnliche Themen strategisch und in Abstimmung mit allen anderen Bereichen des Unternehmens abgestimmt aufsetzen und vorantreiben. Allein diese Verantwortung ist hoch genug, um die neue C-Level-Rolle zu rechtfertigen - insbesondere, wenn man die drohenden Risiken und die langfristige Ausrichtung im Wettbewerbsumfeld berücksichtigt.

5. Konkrete Maßnahmen in der IT-Organisation umsetzen

Die beste Strategie ist umsonst, wenn es nicht gelingt, geeignete Maßnahmen im Unternehmen praktisch umzusetzen. Dabei geht es wieder weniger um technische Details als um Maßnahmen, die die Unternehmensstrategie insgesamt stützen. Soll die Organisation beispielsweise wachsen, muss ein Arbeitgeber IT-Mitarbeiter einstellen, damit sowohl die Entwicklung als auch die Support-Teams skalieren können. Cybersicherheit und konsistente Nutzererfahrungen bei neuen und bestehenden Produkten sind sicherzustellen. Neue DevOps-Initiativen, Customer-Care-Programme oder der Eintritt in neue Märkte mit neuen Regularien und Anforderungen: Das Tagesgeschäft hält zahlreiche Aufgaben bereit, die CTrOs unterstützen können.

Welche Skills ein Chief Trust Officer braucht

Die Aufgaben eine:r CTrO sind breit gefächert und hängen natürlich im Detail jeweils von der Art und Aufstellung des jeweiligen Unternehmens ab. In jedem Fall aber sollte die Person umfassende fachliche Skills sowie Management-Erfahrung mitbringen. Im Unterschied zu CIO oder CISO vertritt ein CTrO keinen echten eigenen Bereich, sondern will die Sicherheitsstrategie in allen Initiativen verankern.

Strategie, Unternehmensberatung, Projektleitung und Sicherheitsverantwortung spielen hier eine wichtige Rolle - keine einfache, aber auf jeden Fall eine abwechslungsreiche Aufgabe. Verhandlungsgeschick, Führungs- und Lenkungsqualitäten sowie konzeptionelle Stärken sollte ein CTrO auf jeden Fall mitbringen. Ebenso wie IT-Kompetenz und Branchen-Know-how.

Und noch ein guter Grund, die CTrO-Position in die eigenen Strukturen zu implementieren: Es ist die perfekte Gelegenheit, alle vorhandenen Schutz- und Sicherheitsmaßnahmen einmal genau unter die Lupe zu nehmen. Sehr wahrscheinlich ergeben sich schnell Verbesserungspotenziale und Strategie-Lücken, die geschlossen werden wollen. Mit der Etablierung der CTrO-Rolle stellen Unternehmen sicher, dass Datenschutz und Datensicherheit den Stellenwert erhalten, den sie verdienen, um langfristig das Vertrauen aller Geschäftspartner zu erhalten. (hk/fm)

1. Gesunder Menschenverstand
Die IT-Governance muss klar verständlich und preisgünstig umsetzbar sein. Testfrage: Würden Sie selbst die IT Governance verstehen und umsetzen wollen?
2. Frühzeitige Organisation
Wenn es noch keine Governance-Organisation im Unternehmen gibt, sollte sie laut Experton mindestens ein Jahr vor einem großen Outsourcing-Vorhaben geschaffen werden. Testfrage: Sind IT-Abteilung und interne Anwender schon an Vorgaben und Kontrolle durch die IT-Governance gewöhnt?
3. Governance vor Vereinbarung
Die IT-Governance sollte stehen, bevor das Outsourcing startet. Testfrage: Sind die neuen Regeln und Prozesse bereits überall bekannt und werden sie gelebt?
4. Aktivitäten im Vorfeld
Die Governance-Organisation sollte bereits während der Ausschreibungs- und Vergabephase beteiligt werden. Testfragen: Hat die Governance-Organisation bereits Input zur Ausschreibung geleistet? Hat sie bereits Anpassungen ihrer Vorgaben und Prozesse im Hinblick auf das Outsourcing vorgenommen?
5. Rasche Einbindung
Die übrige bleibende IT-Abteilung sollte auch frühzeitig in den Outsourcing-Prozess eingebunden werden. Vor allem in der Transitions- und Transformationsphase, so Experton. Testfragen: Sind Personal, Aufgaben und Rollen der Retained Organisation bereits klar definiert? Ist sie vom Kick-Off an in alle Gremien und Prozesse fest eingebunden?
6. Gelebte Kultur
Die neue Governance-Kultur sollte konsequent gelebt und umgesetzt werden. Testfragen: Haben Sie Sanktionen für Verstöße definiert? Haben Sie in den ersten drei Monaten nach Einführung gezielt nach Verstößen gesucht und diese behoben? Weiß jeder Anwender und für Sie tätige Mitarbeiter des Anbieters genau, welche Regeln er einhalten muss?
7. Kontrolle unumgänglich
Key Performance Indicators (KPIs) und Service Level Agreements (SLAs) müssen nach Umsetzung der Transaktion eingehalten, regelmäßig überprüft und anschaulich berichtet werden. "Sonst nützt die schönste IT Governance nichts", warnt Experton. Testfragen: Haben Sie genaue Berichtsvorgaben für die SLA definiert? Wird die Einhaltung aller KPI durch dedizierte Mitarbeiter der Retained Organisation regelmäßig und gezielt nachgeprüft?

Aktuelle Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren