Welchen Wert hat der CISO für Ihr Unternehmen?

by Katharina Konstacky-Degasperi

Der Chief Information Officer ist nicht immer beliebt im Unternehmen. Er kostet Geld, verlangt unbequemen Maßnahmen und kann schon mal hemmend bei Innovation und neuen Ideen wirken. DI Gottfried Tonweber und DI Drazen Lukac von EY unterstützen Unternehmen dabei in Zeiten von DSGVO und massiven Cybersecurity Bedrohungen in Belangen der Compliance und IT-Sicherheit. Im Vorfeld des 11. Confare CIO SUMMIT haben wir die beiden gefragt, was der CISO für das Unternehmen bringt, vor welchen Bedrohungen er das Unternehmen zu schützen hat und bei welchen Themen er nicht lockerlassen darf.

Welche Bedeutung hat der CISO für den Unternehmenserfolg im Digitalen Zeitalter?

In Zeiten von Ransomeware, Advanced Persistent Threats und „Fake-President“ Attacken, rückt die Informationssicherheit wieder verstärkt in den Fokus von Unternehmen. Der CISO nimmt dabei eine wichtige Rolle ein, da die organisatorische Verantwortung für die Informationssicherheit im Unternehmen von der Geschäftsführung an ihn übertragen wurde. Zwar erhöht die Existenz eines Informationssicherheitsmanagements nicht direkt den Unternehmensumsatz oder –erfolg, jedoch zeigt sich oftmals als Ergebnis der Business Impact Analyse im Informationssicherheitskontext, dass eine Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit der kritischen Information Assets, schwerwiegende finanzielle, rufschädigende oder gar rechtliche Auswirkungen haben kann. Man stelle sich ein industriell gefertigtes Produkt vor, dass aufgrund von mutwillig manipulierten Daten, ermöglicht durch ein unzureichendes Informationssicherheitsmanagement, mit einem gravierenden Produktionsfehler ausgeliefert wird. Damit verbundenen Rückrufaktionen, können eine erhebliche Auswirkung auf den Unternehmenserfolg haben. Folglich lässt sich sagen, dass ein effektives Informationssicherheitsmanagement gesteuert durch den CISO durchaus einen Einfluss auf den Unternehmenserfolg hat.

Angriffe bleiben immer öfter unbemerkt – wie kann man mit dieser diffusen Bedrohungslage umgehen?

CIO_18 Meme - Lukac und Tonweber _ Mitarbeiter sind eine Bedrohung für die InformationssicherheitGenerell ist es natürlich illusorisch davon auszugehen, dass ein Unternehmen sich gegen sämtliche Angriffe auf die Informations- und IT-Sicherheit wappnen kann. Als Verantwortlicher des Unternehmens muss man sich der Tatsache bewusst sein, dass trotz des Einsatzes ausgeklügelter technischer und organisatorischer Vorbeugemaßnahmen, immer ein gewisses Restrisiko bestehen bleibt. Selbiges gilt für die Identifizierung von vergangenen oder aktuellen Angriffen, jedoch erhöht ein proaktives Handeln die Chancen für die Erkennung von Angriffen erheblich. Ein Monitoring relevanter Systeme und Services, inkl. einer Analyse der entsprechenden Log-Files kann zu einem rechtzeitigen oder zumindest zeitnahen Erkennen eines Angriffes führen. Der Einsatz moderner technischer Lösungen, wie beispielsweise ein „Security Information and Event-Management (SIEM)“, unterstützt und automatisiert diese Tätigkeiten zu einem gewissen Ausmaß. Dennoch sollte dem bestehenden Restrisiko Rechnung getragen werden. Da ein Angriff von außerhalb meistens über einen kompromittierten User Account erfolgt, ist eine restriktive Handhabung der Zugriffsberechtigungen definitiv ein guter Anfang. Getreu nach dem „Need-to-know“ Prinzip, sollten die Benutzer nur Zugriff auf die Informationen bzw. Daten haben, die sie für ihre tägliche Arbeit benötigen. Selbiges gilt natürlich auch für die Mitglieder der Geschäftsführung. Ein CEO sollte keine vollumfänglichen Zugriffsrechte auf sämtliche Informationen und Daten im Unternehmen haben. In diesem Zusammenhang überwiegt das resultierende Risiko aus Informationssicherheitssicht dem praktischen Nutzen für gewöhnlich und lässt sicher daher normalerweise eher leicht begründen.

Zusammenfassend gilt also, dass dem Restrisiko eines Angriffes, durch geeignete Maßnahmen zur Früherkennung und zur Reduktion der Auswirkung im Falle eines erfolgreichen Eindringens in das Unternehmensnetzwerk, entgegengetreten werden kann.

Was sind die wichtigsten IT-Security Risiken, mit denen man sich als CIO befassen sollte?

Prinzipiell unterscheidet sich die Risikolandschaft zwischen verschiedenen Unternehmen, jedoch gibt es einige allgemeingültige Risiken, die zumindest auf ein Großteil aller Unternehmen zutreffen. Insbesondere unzureichend geschulte Mitarbeiter stellen eine nicht zu unterschätzende Bedrohung für die Informationssicherheit des Unternehmens dar. Die besten technischen Sicherheitsmaßnahmen sind nutzlos, wenn Mitarbeiter nach besten Wissen und Gewissen handeln, jedoch in einer Weise, in der Sie unbedacht die Informationssicherheit gefährden. Darüber hinaus stellt ein ungeeignetes IT-Risikomanagement auch ein großes Risiko dar. Ohne ein adäquates Risikomanagement, ist der CIO nicht in der Lage alle relevanten Risiken zu identifizieren und angemessen darauf zu reagieren.

Welche Investitionen sollte man auf jeden Fall beim CEO durchboxen, um als CISO noch gut schlafen zu können?

Viele wichtige Maßnahmen im Bereich der Informationssicherheit erfordern, im Vergleich zu möglichen technischen Lösungen, keine Investitionen aus finanzieller Sicht. Ein Beispiel wären Maßnahmen zur Steigerung der Informationssicherheits-Awareness im Unternehmen. Diese können für gewöhnlich mit Hilfe minimaler externer Ressourcen durchgeführt werden und verursachen somit kaum zusätzlichen Kosten in Relation zum erwartenden Nutzen. Wichtig ist auch, dass die Verantwortlichen für die Informationssicherheit ausreichend qualifiziert sind. Sofern dies nicht der Fall ist, sollte in entsprechende Aus- und Weiterbildungen investiert werden. Kostenintensive Investitionen sind im Bereich der IT-Sicherheit leider unvermeidbar, jedoch lässt sich nicht pauschal beantworten, welche Investitionen in diesem Bereich tatsächlich notwendig sind. Zuerst sollte der Status Quo im Bereich Informationssicherheit erhobenlegen um geeignete Maßnahmen aufzuzeigen und diese in Relation zu Kosten und Nutzen zu setzen.

Treffen Sie DI Gottfried Tonweber und Drazen Lukac von EY Österreich am 11. / 12. April 2018 beim Confare CIO SUMMIT in Wien, Österreichs größtem IT-Management Treffpunkt, auf dem die besten IT-Manager Österreichs mit dem Confare CIO AWARD 2018 ausgezeichnet werden.
Sichern Sie sich noch schnell Ihr Ticket.

Für Sie ausgewählt

Leave a Comment