OUT NOW exklusiv im #ConfareBlog:
IT und Gesellschaft im digitalen Dauerstresstest – 4 Elemente einer zeitgemäßen Zusammenarbeit von CIO und CISO
vom Confare Factsheet, powered by T-Systems
“Never change a running system!“ war in der Vergangenheit ein geflügeltes Wort in der Unternehmens-IT. Inzwischen kann man sich das nicht mehr leisten. Es wird viel probiert, agil entwickelt, rasch skaliert und auch wieder verworfen. Organisationen und Menschen sind gleichermaßen von diesem Trend zur Höchstgeschwindigkeit betroffen. Nur mit hochflexiblen Architekturen und komplexen Strukturen lässt sich das noch beherrschen. Da kann es beispielweise leicht passieren, dass “unangenehme” Aspekte wie die Sicherheit, bei einer raschen Cloud-Migration oder einem schnellen Launch eines Minimal Viable Products (MVP) nicht ganz so hohes Augenmerk erhalten, wie sie verdient hätten.
Top CIOs, CISOs und IT-Manager*innen treffen Sie bei den Confare #CIOSUMMITs! Am 08. Oktober 2024 findet das erste #CIOSUMMIT in Salzburg statt – inklusive Confare Female IT-Mentoring.
Stillstand ist Rückschritt und zwar sehr, sehr schnell!
Anke Sax, Geschäftsführerin (COO/CTO), KGAL GmbH & Co. KG
Heute müssen CIOs und CISOs sicherstellen, dass die Daten zusätzlich zu den ursprünglichen Speicherorten nun auch in den diversen Cloud Plattformen/-Apps sowohl technisch als auch organisatorisch geschützt sind und auch hochgradig migrationsfähig bleiben müssen. Sie werden
auch verstärkt für die Einhaltung gesetzlicher Vorschriften und die Vermeidung von Strafen verantwortlich sein.
Wolfgang Mayer, CISO, Head of Information Security, Hoerbiger Deutschland
Naturgemäß hinkt das Rechtssystem den wirtschaftlichen und technischen Bedingungen hinterher. Trotzdem haben, wie bereits beschrieben, Gesetzgeber und Regulatoren die IT und ihre Sicherheitsaspekte verstärkt im Blick. Daraus entstehen Haftungsrisiken und Rechtsfragen, aus denen sich wichtige Schlussfolgerungen für die Sicherheitssysteme und -prozesse im Unternehmen ziehen lassen.
Security war historisch gesehen eine Subaufgabe der IT, doch gerade Krisen zeigen, wie wichtig Sicherheit für den nachhaltigen Unternehmenserfolg ist.
Martin Krumböck, CTO Cyber Security, T-Systems
Durch die enorme Durchdringung, die IT inzwischen in der Wertschöpfung erreicht, ist die klassische Einordnung der Disziplin Cyber Security nicht mehr wirklich zeitgemäß. Cyber Security hat nicht nur wirtschaftliche und rechtliche, sondern mittlerweile auch gesellschaftliche Relevanz. Fachbereiche, IT und Geschäftsführung sind gleichermaßen von den Risiken betroffen, die von Hackern, Cyber Kriminalität, Ransomware und Viren ausgehen. Es gilt sich dieser Herausforderung gemeinsam zu stellen. Cyber Security Leadership muss breiter betrachtet werden.
CIO und CISO – Gemeinsamer Erfolg braucht Abgrenzung
Nicht allzu selten trifft man in Unternehmen, insbesondere im Mittelstand, eine Konstellation an, in der der Chief Information Officer auch die Rolle als Chief Information Security Officer in Personalunion innehat. Das mag den persönlichen Interessen und Fähigkeiten entsprechen oder aus der Not heraus geboren sein, da man die Stelle nicht besetzen konnte. Einer modernen Cyber Security wird das aber nicht gerecht.
In der APG trennen wir die Aufgaben von CIO und CISO gemäß dem staatlichen Vorbild in Legislative (CISO mit Information Security) und Exekutive (CIO mit Security Operations Center).
Markus Kasinger, CIO, APG
Ebenfalls häufig zu finden ist eine CISO-Rolle, die als Direct Report des CIOs eingerichtet ist. Naheliegend, dass in so einer Situation Interessenskonflikte auftreten. Als Mitarbeiter:in der IT ist der CISO weisungsgebunden und kann seiner Steuerungsfunktion nur schwer nachkommen. Gewaltentrennung, wie sie Markus Kasinger oben beschrieben hat, ist daher eine Voraussetzung, dass ein Unternehmen im Bereich Cyber Security Leadership gut aufgestellt ist.
Cyber Security sollte eine klare, organisatorische Abgrenzung zur laufenden Unternehmens-IT haben; dadurch können sie die Security ständig verbessern, ohne in Interessenkonflikte zu geraten.
Christoph Kukovic, Enterprise Security Architect, Verbund
In einer modernen Organisation sind Unternehmens-IT und CISO-Organisation auf Augenhöhe. Während der CIO die Digitalisierungs-Agenda des Unternehmens gestaltet und Betrieb und Infrastruktur verwaltet, kann in so einer Konstellation der CISO einen aktiven Beitrag dafür leisten, dass Cyber Security über Silogrenzen hinaus Beachtung findet und fachgerecht umgesetzt wird.
CIO und CISO – Gemeinsamer Erfolg braucht enge Zusammenarbeit
Um eine umfassende Cyber-Sicherheitsstrategie und -architektur zu entwickeln und umzusetzen, die sowohl technologische als auch organisatorische Sicherheitsaspekte umfasst und sich an die sich ständig ändernden Bedrohungen anpasst, sind CIOs und CISOs gemeinsam gefordert.
Martin Pils, Chief Information Security Officer / Senior Manager Information Management & Security, FACC AG
Auch wenn die organisatorische Trennung ein zentraler Aspekt eines modernen Cyber Security Organigramms ist, braucht es dennoch intensive Kooperation, um alle wichtigen Teilaspekte im Griff zu haben. Das reicht von Technik, Architektur, Strategie, Lieferkette und Recht bis ganz rauf in die Wertschöpfungskette, wo Kund:innen digitale Services und Produkte des Unternehmens in Anspruch nehmen
Beide Rollen müssen füreinander zuverlässige Sparringpartner sein. Es muss eine Kommunikation auf Augenhöhe stattfinden.
Thomas Masicek, SVP / Tribe Lead Cyber Security, T-Systems
All die unterschiedlichen Anforderungen unter einen Hut zu bringen wird immer schwieriger. Dazu gehört es sinnvolle Prioritäten zu setzen, die auf den Unternehmenszielen, einer Risikobewertung und den technischen Voraussetzungen basieren.
CIO und CISO – Gemeinsamer Erfolg als Partner der Fachbereiche
In Zeiten disruptiver Veränderung darf Cyber Security nicht in die Rolle des Blockierers schlüpfen. Ein CISO, der aus Prinzip Veränderung verhindert, wird in der Regel umgangen. Er wird bei den entscheidenden Meetings nicht eingeladen, seine eigene Stimme wird nirgends Gehör finden und Management und Anwender:innen werden Workarounds etablieren, um nicht auf die Zustimmung der IT-Sicherheitsleute angewiesen zu sein.
CISO und die Cyber Security als Enabler der IT und Digitalisierung werden oft in der Literatur erwähnt, und das auch zu Recht. Dies erfordert aber viel Einsatz und Kooperation. Der Grat, auf dem man vom Unterstützer zum Verhinderer werden kann, ist sehr schmal.
Christoph Kukovic, Enterprise Security Architect, Verbund
Für beide Rollen gilt, dass ein tiefes Businessverständnis und der Enablement-Gedanke essenziell sind. Deshalb werden sich beide Rollenbilder zukünftig weiter annähern. Zusätzlich ist ein tiefes inhaltliches Verständnis der jeweils anderen Domäne, wesentlich für den gemeinsamen Erfolg. Hardliner stehen wohl schnell alleine da und werken unwirksam.
Markus Kasinger, CIO, APG
Enablement, so lautet die moderne Forderung an IT und Cyber Security. Um dieser gerecht zu werden, braucht es vor allem eines: Verständnis und Empathie. Dann müssen Sicherheits-, Anwender- und Endkunden-Bedürfnisse nicht miteinander im Widerspruch stehen. Das Bild eines Kräftedreiecks, bei dem ein Mehr auf der einen Seite immer ein Weniger auf einer der anderen Seiten erfordert, ist nicht mehr passend. Auch der Markt hat das erkannt, und so bieten zahlreiche Hersteller Lösungen an, die Sicherheit und Komfort im Einklang anbieten. Moderne CIOs und CISOs schaffen Systeme, die Usability und Sicherheit gleichermaßen verbessern können.
CIO und CISO – Gemeinsamer Erfolg als Partner der Geschäftsführung
Die Trennung von IT und Business, die über Jahre gepflegt wurde, ist in einem digitalen Umfeld nicht mehr sinnvoll.
CIOs und CISOs sind mittlerweile zu direkten Ansprechpartnern von Vorständen und Geschäftsführer:innen geworden, wenn es um die Umsetzung und Erreichung der strategischen Unternehmensziele geht. Gegenseitiges Verständnis erfordert vor allem Kommunikation auf Augenhöhe und eine gemeinsame Sprache.
Technokraten, die versuchen mit Unternehmenslenkern in ihrem geliebten Fachvokabular und ohne Business-Bezug zu sprechen, wird es nicht gelingen zu überzeugen, wenn es um Cyber Security Investitionen und Maßnahmen geht
Die Zusammenarbeit mit der Geschäftsführung wird weiter intensiviert, damit die Geschäftsprozesse, die Geschäftsziele und -strategien bestmöglich unterstützt und geschützt werden können, und sich die Sicherheitsstrategie, an die sich ändernden Bedrohungen anpassen.
Wolfgang Mayer, CISO, Head of Information Security, Hoerbiger Deutschland
In dieser Funktion sollten CIOs auch in der Lage sein, Geschäftsführer:innen und Vorstandsmitglieder zu beraten, um sicherzustellen, dass Cyber Security in die Geschäftsstrategie des Unternehmens integriert wird.
Marcel Lehner, Chief Information Security Officer, MM Group
Die gute Nachricht: Auch für CEOs und Unternehmer:innen ist die zunehmende Bedrohung aus dem Cyberspace genauso sichtbar, wie die Geschäftschancen im digitalen Raum. Mit IT-Sicherheit Gehör zu finden ist heute leichter als früher. Es braucht nur die richtigen Argumente. Dabei gilt die alte Marketing-Faustregel: Der Köder muss dem Fisch schmecken und nicht dem Angler.
Gender-Hinweis:
Zur besseren Lesbarkeit dieses Blogartikels verwenden wir das generische Maskulinum. Die in diesem Blogartikel verwendeten Personenbezeichnungen beziehen sich – sofern nicht anders kenntlich gemacht – auf alle Geschlechter.