Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Der CISO im Spannungsfeld zwischen Geschäftsleitung und Mitarbeiter

Der CISO (Chief Information Security Officer) als Verantwortlicher, als Verantwortliche der Informationssicherheit in einem Unternehmen setzt eine zielstrebige, durchsetzungsfähige und doch flexible Persönlichkeit voraus, die auf jeder Stufe des Unternehmens kommunizieren kann. Er, sie ist wahrhaftig ein Unternehmens-Chamäleon, der, die ein Auge auf die Interessen und Ziele aus der Sicht des CEO (Chief Executive Officer) richtet, dem er oder sie Bericht erstattet und dem sie oder er unterstellt ist, während sie oder er die Wünsche und Beschwerden von Seiten der Mitarbeitenden mit ihrem zweiten Auge verfolgt. Als wäre dies nicht bereits schon eine Mission Impossible muss er, muss sie als CISO seine und ihre eigenen Ziele verfolgen. Dieser äussert schwieriger Balanceakt zwischen den Wünschen der Mitarbeitenden, verwöhnt durch die schnelllebigen Informations-Technologien wie Smartphones, Tablets, Wearables, IoT etc. und die Anforderungen, ja sogar Erwartung an den Arbeitgeber, die Arbeitgeberin „any time anywhere any device“ an alle Informationen zu kommen, die sie benötigen. Dies steht der Herausforderung grösserer Unternehmen gegenüber, die Kosten der IT-Technologie, Infrastruktur und Betrieb unter Kontrolle zu haben, diese konstant zu verringern, um wettbewerbsfähig bleiben zu können. Dazu kommt, dass ein CISO, eine CISO die stetige Herausforderung hat, die generierten Daten sicher im Unternehmen unter Kontrolle zu haben. Dies generiert ein Spannungsfeld, in dem sich CISOs Tag für Tag beweisen müssen. Welche Fehler, die das Leben von CISOs zu einer echten Herausforderung machen sollte ein Unternehmen vermeiden? Der wohl geläufigste Irrtum liegt in der Organisationsstruktur und der Rollenverteilung. Wer erstattet wem Bericht, wer ist wofür in Sachen Sicherheit verantwortlich? Ein(e) CISO sollte nicht dem/der CIO (Chief Information Officer) unterstellt werden, sondern direkt als Stabsstelle der/dem CEO. Diese Funktionstrennung erscheint sinnvoll, da die Informationssicherheit nicht als Sub-Menge oder Sub-Funktion innerhalb der IT-Security angegliedert werden sollte. Die Aufgabe eines CISO, einer CISO geht weit über die reine IT hinaus: Sie, er muss sich (im Idealfall) um das Risiko-Management und die Sicherheit „aller Assets des Unternehmens“ kümmern. Dies aber leitet nun die nächste Challenge ein: Unternehmen, die nicht über die Mittel für  dedizierte CISO-Verantwortliche verfügen oder dies nicht als absolut notwendige Rolle betrachten. Meine Erfahrung hat mir aber auch gezeigt, dass der Werdegang von CISOs desöfteren für die Person selbst ein „Stolperstein“ sein kann. Ein Beispiel: Ein IT-Fachmann bildet sich weiter und übernimmt Projektleitungs- und/oder Teamleitungsverantwortung. Danach bildet er sich weiter in Richtung Management. Er will und kann aber nicht über seinen Schatten springen und die „IT-Technik“ lässt ihn einfach nicht los. Er ist und war der IT-Crack, setzt sich trend- und zeitgemäss mit Hacking und Cyber-Defense-Themen auseinander und manövriert sich selbst in eine mehrschichtige Rolle, anzusiedeln zwischen IT-Leitung, Security-Crack und dem CISO. Soll man dies nun negativ oder positiv werten? Ich denke wohl „weder noch“, sondern es empfiehlt sich, ganz einfach seinen Weg weiterzugehen und sich der Herausforderung zu stellen. Spannungen zwischen den Mitarbeitenden aushalten, die einfach alles wollen und keine Aufwände und Komplikationen mit komplexen Passwörter, SmartCards etc. wünschen und der Geschäftsleitung, die in Sachen Sicherheit nur das Finanzielle vor Augen hat, ist und bleibt das Spannungsfeld eines CISO, einer CISO.

---

Blogpost wurde erstellt von Andreas Keller im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.