Anzeige

Superheld

Die Auswirkungen der fortschreitenden digitalen Transformation sind nicht nur im IT- und im Business-Bereich, sondern auch beim Thema Cyber-Sicherheit zu spüren. Dementsprechend verändert sich auch die Rolle des Chief Information Security Officer (CISO), die immer mehr Managementfähigkeiten und Kooperationsbereitschaft verlangt.

Dies ist eine Erkenntnis der Studie „What It Takes to Be a CISO: Success and Leadership in Corporate IT Security“, die PAC – a CXP Group Company im Auftrag von Kaspersky Lab durchgeführt hat.

Unsere Welt ist immer stärker digitalisiert, und dieser Weg ist für Unternehmen längst nicht mehr optional. Die kontinuierlich voranschreitende digitale Transformation führt zu einer Öffnung von Volkswirtschaften, Unternehmen und Informationssystemen, wodurch sie agiler und vernetzter werden, aber auch anfälliger für Bedrohungen. Angesichts dieser zunehmenden Risiken ist Cyber-Sicherheit heute ein wesentlicher Katalysator für die digitale Transformation. Sie schützt nicht nur das Unternehmen sowie dessen Ökosysteme, sondern macht diese Transformation überhaupt erst möglich. „Um diesen Herausforderungen gerecht werden zu können, muss sich allerdings auch die Rolle des Chief Information Security Officer wandeln“, so Mathieu Poujol, Head of Cyber Security bei PAC.

Wie die Leistung des CISO gemessen wird

Die Rolle der für die Studie befragten CISOs innerhalb ihres Unternehmens lässt sich an den KPIs festmachen, nach denen ihre Leistung beurteilt wird, an der Abteilung, für die sie arbeiten, und an ihren Hauptaufgaben. Diese KPIs spiegeln die Prioritäten des CISO wider: Schutz des Unternehmens vor Cyber-Bedrohungen und deren Auswirkungen, Reduzierung von Schwachstellen, Lösung von Compliance-Problemen und Einhaltung der Budgets (Bild 1).

Ein Blick darauf, wie die Leistung der CISOs gemessen wird, lässt erhebliche Unterschiede bei den KPIs erkennen, je nachdem, wie lange ein CISO diese Rolle bereits innehat. Interessanterweise werden CISOs mit kürzerer Amtszeit seltener anhand der vollen Palette an KPIs bewertet. Es bestehen große geografische Unterschiede. So ist beispielsweise die Qualität und Geschwindigkeit der Reaktion auf Störfälle ein KPI für 80 Prozent der befragten CISOs in der APAC-Region, während in Lateinamerika nur 68 Prozent der CISOs an diesem KPI gemessen werden.

CISOs, die ihrer Meinung nach nicht ausreichend an unternehmerischen Entscheidungen beteiligt sind, werden zu 9 Prozent seltener nach der Häufigkeit schwerer Sicherheitsverletzungen und zu 10 Prozent seltener nach ihrer Compliance-Bilanz beurteilt. Dies scheint die Tatsache widerzuspiegeln, dass diese CISOs weniger in unternehmerische Entscheidungen eingebunden werden.

Wie wird Ihre Leistung in Ihrer Rolle gemessen

Bild 1: Wie wird Ihre Leistung in Ihrer Rolle gemessen (KPIs)?

Einbindung der CISOs auf Geschäftsleitungsebene

Die Einbindung der CISOs ist eine Sache, die Hierarchieebenen im Unternehmen eine andere. „Normalerweise würde man davon ausgehen, dass ein Chief Information Security Officer Mitglied der Geschäftsleitung ist. Es sitzen jedoch nur 26 Prozent der befragten CISOs im Vorstand und nehmen an allen Sitzungen teil“, erläutert Wolfgang Schwab, Principal Consultant bei PAC. In der Regel findet man CISOs auf Geschäftsleitungsebene nur in Unternehmen mit hohem Digitalisierungsgrad oder in sensiblen Sektoren, sowie in sehr großen Firmen. Dies ist häufig gleichbedeutend mit einem hohen Reifegrad bei der Cyber-Sicherheit. Nur 58 Prozent der befragten CISOs sind der Ansicht, angemessen in unternehmerische Entscheidungen eingebunden zu sein.

Allerdings glauben nur 25 Prozent der befragten CISOs, die nicht Mitglied der Geschäftsleitung sind, dass sie dies sein sollten. Der Rest ist zufrieden mit der aktuellen Position. In Europa denken 41 Prozent der CISOs, sie sollten eigentlich Teil der Geschäftsleitung sein, während in den GUS-Ländern nur 13 Prozent der befragten CISOs dieser Meinung sind.

Eine weitere Erkenntnis aus der Studie ist, dass sich ein Großteil der CISOs selbst nicht als Business Manager sieht – was normalerweise ein wesentliches Element einer Position auf CxO-Ebene ist – sondern eher als Fachexperten. Manager für Cyber-Sicherheit gehört zu den techniklastigsten Rollen im Unternehmen, und so werden diese Mitarbeiter auch bewertet.

CISOs als Ratgeber

Insbesondere CISOs, die stärker mit den Geschäftsbereichen zusammenarbeiten möchten, werden von der Geschäftsleitung häufiger um Rat gefragt als CISOs, die hier kein Interesse zeigen. CISOs, die in ihrem Unternehmen gut vernetzt sind und bereit sind, mit den verschiedenen Geschäftsbereichen zu kooperieren, werden als wertvollere Ratgeber wahrgenommen als Kollegen, die sich hier nicht engagieren. Dieser Trend weist in eine Zukunft, in der CISOs mehr auf die Belange des Business achten und sich auf Geschäftsrisiken konzentrieren müssen. In einigen großen Unternehmen kommt der CISO bereits nicht mehr aus der IT-Abteilung.

Wann bittet Sie die Geschäftsleitung um Rat?

Bild 2: Wann bittet Sie die Geschäftsleitung um Rat?

Über die Studie:

Die PAC-Studie „What It Takes to Be a CISO: Success and Leadership in Corporate IT Security” („Was einen CISO ausmacht: die erfolgreiche Steuerung der IT-Sicherheit im Unternehmen“) möchte diese und andere Fragen beantworten. Sie wurde von PAC im Auftrag von Kaspersky Lab durchgeführt und analysiert weltweit den Status quo sowie die künftige Entwicklung der Rolle des CISO und seiner Organisation. Grundlage sind eine CATI-Befragung von 250 Unternehmen weltweit, die CISOs oder vergleichbare Rollen haben, sowie 11 Experten-Interviews. Diese Studie wurde erstmals im Sommer 2018 durchgeführt und wird jährlich aktualisiert werden.

Die englischsprachige Studie steht hier zum Download bereit.

www.pac-online.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!