fbpx

Martin Pils, CISO, FACC: Compliance, NIS und KRITIS nutzen um Schwachstellen zu eliminieren

by Yara El-Sabagh

 OUT NOW im #Confare Blog alles über Compliance, NIS und KRITIS um Schwachstellen zu eliminieren

In Ried am Innkreis entstehen bei FACC Bauteile, die international in der Herstellung von Flugzeugen Verwendung finden. Dementsprechend hoch sind die Anforderungen an Sicherheit und Vertraulichkeit. Von Corona und der Krise der Flugindustrie war man natürlich besonders betroffen, daher waren in den letzten Jahren auch IT-Kosten ein wichtiges Thema.

Um zwischen den hohen Compliance-Anforderungen, dem Kostendruck und den Anforderungen eines volatilen Marktes die Cybersecurity Herausforderungen erfolgreich zu meistern, hat man mit Martin Pils einen Experten an Bord geholt um ein CISO Office aufzubauen und zu etablieren. Neben einer militärischen Vergangenheit bei Bundesheer und NATO, bringt Martin eine fundierte Ausbildung in IT-Sicherheit unter anderem beim renommierten MIT und Erfahrungen aus unterschiedlichen Industrieunternehmen für die Aufgabe mit. Wir wollten von Martin wissen, was aus seiner Sicht die wichtigsten Trends sind und welche Rolle IT-Sicherheit für den Unternehmenserfolg heute spielt. Mehr über Compliance lesen Sie im diesem Blog.

In der Recherche für das kommende Confare Factsheet „Cyber Security Update 2023“, das Confare in Zusammenarbeit mit T-Systems Austria veröffentlicht, haben wir mit Martin über Bedeutung von Resilienz in der IT und die Rolle des CISOs dabei gesprochen.

Kein Factsheet verpassen? Einfach das Confare Factsheet Abo bestellen!

Mehr als 500 hochkarätige CIOs und CISOs sind bereits angemeldet beim Confare #CIOSUMMIT, dem größten und wichtigsten IT-Management Treffpunkt des Jahres. Haben Sie schon Ihren Platz gesichert?

Compliance, NIS und KRITIS nutzen um Schwachstellen zu eliminieren. Wie? Jetz lesen

Inflation, Pandemie, Krieg – Welche Herausforderungen bringen die aktuellen Unabwägbarkeiten für die Unternehmens-IT?

In meinem CISO-Team bei der FACC AG sehen wir uns mit einer Vielzahl von Herausforderungen konfrontiert, die durch Unwägbarkeiten wie die herrschende Inflation, die Nachwirkungen der Covid Pandemie und die Folgen des Kriegs in der Ukraine ausgelöst werden.

All diese Ereignisse haben Auswirkungen auf die Wirtschaft, die Gesellschaft und letztlich auch auf unser Unternehmen. Insbesondere die Pandemie hat den weiteren Ausbau von Telearbeit sehr beschleunigt, was aufgrund der Geschwindigkeit das Risiko von Cyberangriffen erhöht.

Wir müssen uns laufend auf neue mögliche Krisen vorbereiten, indem wir unsere IT-Systeme und -Prozesse überprüfen und optimieren, um die Kontinuität unserer Geschäftsprozesse zu gewährleisten.

Um diesen Herausforderungen zu begegnen, arbeiten wir eng mit unserem Management und den Abteilungsleitern zusammen, um sicherzustellen, dass wir die richtigen Maßnahmen zum Schutz unserer IT-Systeme und Daten ergreifen.

Wir investieren in die neuesten Technologien und arbeiten mit erfahrenen Drittanbietern zusammen, um unsere IT-Sicherheit auf dem neuesten Stand zu halten.

Wir schulen unsere Mitarbeiterinnen und Mitarbeiter regelmäßig in sicheren Arbeitspraktiken und sensibilisieren sie für die Gefahren, denen wir ausgesetzt sind.

Ein ausgereiftes und umfassendes Awareness Programm ist an dieser Stelle unabdingbar.

CIOSUMMIT-wien-award-2024

Widerstandskraft (also Resilienz) ist in unsicheren Zeiten zu einem entscheidenden Faktor für die Unternehmens-IT geworden. Was sind die wichtigsten Faktoren dabei?

Ich bin davon überzeugt, dass die Widerstandsfähigkeit der IT-Systeme unseres Unternehmens entscheidend ist, um in unsicheren Zeiten erfolgreich arbeiten zu können. Dazu gehören vor allem die regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen, die Schulung unserer Mitarbeiterinnen und Mitarbeiter in sicherem Verhalten und die Umsetzung von Notfallplänen.

Ebenso wichtig ist die Fähigkeit, schnell auf Bedrohungen zu reagieren, um den Schaden zu minimieren und schnell zum Normalbetrieb zurückzukehren. Hier sollte man keinesfalls die Bedeutung von strategischen Partnern vergessen. Bei FACC setzen wir darauf, dass uns diese Partner helfen uns stetig weiter zu verbessern. Im Krisenfall sind Sie ein wichtiger Pluspunkt, um schnellstmöglich wieder auf die Beine zu kommen.

Die wichtigsten Faktoren die ich jedenfalls in einer strategischen Resilienz dabeihaben möchte:

Eine redundante Informations- & IT-Infrastruktur ist Teil des Systems, welches sicherstellt, dass bei einem Ausfall ein anderes System den Betrieb aufrechterhalten kann. All das muss in ein umfassendes Business Continuity Management eingebunden sein.

Dieses BCM ist die Basis allen Tuns, auf der wir die strategische Resilienz aufsetzen – es muss sich alles darum drehen, wie wir auch im Worst Case den Betrieb aufrechterhalten können.

Im dazu gehörenden IT Risk Management muss sich ein Notfallwiederherstellungsplan wiederfinden, der nach einem Ausfall einen schnellen Zugriff auf ein Backup-System ermöglicht. Dieser muss regelmäßig erprobt werden. An dieser Stelle ist es wichtig zu verstehen, dass wir vom Einzelwissen hin zum Teamwissen kommen müssen und auch im Krisenfall keine Ein-Personen-Abhängigkeiten zu haben.

Kontinuierliche Überwachung und Anpassung der Sicherheitsmaßnahmen, um auf neue Bedrohungen reagieren zu können sind ein Teil der ständigen Verbesserung, welche durch umfassende Awareness Maßnahmen abgerundet wird. Hier gilt, dass Wissen und Ausbildung die Resilienz als Ganzes unterstützt.

Welche Rolle kommt der Cyber Security zu, wenn es um Resilienz geht?

Als CISO betrachte ich die Cybersicherheit als einen der entscheidenden Faktoren für die Widerstandsfähigkeit unseres Unternehmens.

Eine starke Cybersicherheit stellt sicher, dass wir bestmöglich vor externen Bedrohungen geschützt sind und dass unsere Informationssysteme vor Angriffen und Datenverlusten schützen.

Ohne ausreichenden Schutz vor Cyber-Bedrohungen kann ein Unternehmen schnell in Schwierigkeiten geraten, die zu Ausfallzeiten und Schäden führen, im schlimmsten Fall zur Insolvenz.

Nur durch die laufende Anpassung der Abwehrmechanismen und Abwehrstrategien können wir sicherstellen, dass unsere IT- und Informationssysteme und damit unser Unternehmen auch in unsicheren Zeiten widerstandsfähig bleiben.

Eine robuste Cyber-Sicherheit ist somit die Grundlage für ein widerstandsfähiges Unternehmen.

Sie ermöglicht es uns, Risiken zu minimieren und schnell auf Bedrohungen zu reagieren, um den Geschäftsbetrieb aufrechtzuerhalten und Schäden zu minimieren.

Welche sind die wichtigsten Compliance und Regulierungstrends 2023? Worauf müssen CIOs und CISOs achten?

Zu den wichtigsten Compliance – und Regulierungstrends in Zentraleuropa im Jahr 2023 gehören die Umsetzung der EU-Richtlinie für Netz- und Informationssicherheit (NIS) und die Anwendung der Richtlinie für kritische Infrastrukturen (KRITIS).

CIOs und CISOs sollten sich darauf vorbereiten, ihre Netzwerke und Systeme entsprechend zu schützen und sicherzustellen, dass sie die Anforderungen dieser Richtlinien erfüllen.

Es ist auch wichtig, dass sie ihre Mitarbeiter in der Einhaltung dieser Vorschriften schulen und dafür sorgen, dass diese regelmäßig überprüft werden.

Es ist wichtig, dass CIOs und CISOs verstehen, dass Sie Zertifizierungen nicht (nur) wegen der Urkunde absolvieren, sondern die Chance ergreifen damit Schwachstellen im System zu finden und zu beseitigen.

Ein Audit ist auch nur eine Momentaufnahme und im nächsten Moment schlägt die nächste Bedrohung zu.

Der aktive Schutz kritischer Infrastrukturen (KRITIS) und die Identifizierung von Cyber-Gefahren und -Bedrohungen (NIS) sind wichtige Bestandteile der IT-Sicherheit und Compliance.

Wie verändern sich die Rollenbilder von CIO und CISO, wenn es um Cyber Security 2023 geht?

Mit Blick auf die Cybersicherheit im Jahr 2023 ist zu erwarten, dass sich die Rollen von CIOs und CISOs weiter verändern werden.

CIOs werden sich wahrscheinlich noch stärker auf die Umsetzung von Technologiestrategien konzentrieren, die die Sicherheit von Unternehmensdaten und -systemen verbessern.

Dies kann die Einführung von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) zur Erkennung von Bedrohungen, die Automatisierung von Sicherheitsprozessen und die Implementierung von Cloud-basierten Sicherheitslösungen umfassen. Auch hier haben wir bei FACC diesen Weg eingeschlagen und gehen auch 2023 konsequent weiter.

CISOs hingegen werden voraussichtlich eine größere Rolle bei der Entwicklung von Sicherheitsstrategien und -richtlinien sowie bei der Überwachung ihrer Einhaltung spielen.

Sie werden auch zunehmend dafür verantwortlich sein, das Risikomanagement des Unternehmens zu koordinieren und das Sicherheitsbewusstsein im Unternehmen durch Schulungen und Tests zu stärken.

CISOs werden auch besser in der Lage sein, die Geschäftsanforderungen mit den Sicherheitsanforderungen in Einklang zu bringen, und sie werden eine größere Rolle bei der Unterstützung der Einhaltung gesetzlicher und regulatorischer Anforderungen spielen.

Generell müssen CIOs und CISOs eng zusammenarbeiten, um eine umfassende Cyber-Sicherheitsstrategie und -architektur zu entwickeln und umzusetzen, die sowohl technologische als auch organisatorische Sicherheitsaspekte umfasst und sich an die sich ständig ändernden Bedrohungen anpasst.

Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hoch dynamischen Umfeld. Wie lässt sich das mit Forderung nach Stabilität, Widerstandsfähigkeit und Sicherheit unter einen Hut bringen?

Agilität, Kundenorientierung und Schnelligkeit sind zwar wichtige Erfolgsfaktoren in einem hochdynamischen Umfeld, müssen aber mit den Anforderungen an Stabilität, Ausfallsicherheit und Sicherheit in Einklang gebracht werden.

Eine Möglichkeit, dies zu erreichen, besteht darin, eine klare und umfassende Sicherheitsstrategie zu entwickeln, die die Anforderungen berücksichtigt und gleichzeitig die Sicherheit der IT-Systeme und Daten gewährleistet.

Eine weitere Möglichkeit besteht darin, die Sicherheit in den agilen Entwicklungsprozess zu integrieren, indem sicherheitsrelevante Anforderungen von Anfang an berücksichtigt werden und die Entwicklungsteams regelmäßig Sicherheitstests durchführen.

Wichtig ist auch die Schaffung einer Sicherheitskultur im Unternehmen, in der die Mitarbeiter ermutigt werden, sicherheitsrelevante Fragen und Bedenken zu äußern, und in die Entscheidungsfindung einbezogen werden. Regelmäßige Schulungen und die Sensibilisierung der Mitarbeiter für Sicherheitsfragen und -verfahren tragen dazu bei, das Risiko menschlichen Versagens zu minimieren und die Bereitschaft der Mitarbeiter zur Unterstützung der Sicherheitsanforderungen zu erhöhen.

Insgesamt besteht die Herausforderung darin, ein Gleichgewicht zwischen Agilität, Kundenorientierung, Geschwindigkeit und Stabilität, Robustheit und Sicherheit zu finden, indem die Anforderungen der Geschäftsanforderungen, mit denen der Sicherheitsanforderungen in Einklang gebracht werden.

Für Sie ausgewählt

Leave a Comment