#ConfareBlog mit Wienerberger CISO Christoph Schacher:
Resilienz ist mehr als Backup und Restore
Veränderung ist die einzige Konstante in der Digitalen Transformation. Das bedeutet aber nicht nur beachtliche Chancen und Möglichkeiten für neue Geschäftsmodelle und unternehmerisches Handeln, sondern bringt auch eine Menge neue Risiken und Unabwägbarkeiten mit sich. Daher ändert sich auch die Bedeutung und Rolle des CISO im Unternehmen, ist Christoph Schacher überzeugt. Christoph ist CISO von Wienerberger und gern gesehener Gast auf den Confare Event Bühnen. Im Bloginterview erzählt er mehr über die Aufgabe Business Resilienz zu schaffen und über das Rollenbild des CISO.
Christoph Schacher und 700 weitere IT- und Cybersecurity Professionals treffen Sie beim wichtigsten österreichischen IT-Management Treffpunkt, dem Confare #CIOSUMMIT.
Mehr zum Thema Business Resilienz erfahren Sie beim Confare Seminar mit Balint Ladanyi: Business Continuity in 5 Stufen: So erreichen Sie Resilienz in der IT.
… hier erhalten Sie das Confare Factsheet „Cyber Security Update 2023“ mit Meinungen, Erfahrungen und Tipps zum kostenlosen Download.
Livin IT Blog passend zum Thema: Passwörter – Mehr als Buchstaben und Zahlen
Inflation, Pandemie, Krieg – Welche Herausforderungen bringen die aktuellen Unabwägbarkeiten für die Unternehmens-IT?
Diese Herausforderungen zwingen die IT, flexibel zu sein und umfassend zu denken – und das ist gut so. Überlegungen zu Resilienz und Business-Continuity sind endlich salonfähig geworden. Früher waren Planspiele zu Stromausfall, Epidemie, Hochwasser oder gar Krieg etwas für Querdenker, Spinner und düstere Propheten. Nun gehören Konzepte zur Notfallplanung zum Standardrepertoire von CIO und CISO. Dabei wissen wir genau, dass weder Inflation, noch Pandemie und Krieg etwas neues sind – all das hatten wir, auch in unserem Teil der Welt, schon mehrmals, es ist halt schon länger her.
Widerstandskraft (also Resilienz) ist in unsicheren Zeiten zu einem entscheidenden Faktor für die Unternehmens-IT geworden. Was sind die wichtigsten Faktoren dabei?
Resilienz ist mehr als Backup und Restore. Das muss im Unternehmen verstanden werden. Für mich gehört zur Resilienz eine ganzheitliche Vorbereitung auf widrige Umstände, die Möglichkeit, aus eigener Kraft wieder auf die Beine zu kommen. Während die IT natürlich den Restore auf der technischen Seite ausreichend vorbereiten und üben muss, ist auch das Business gefragt, sich auf schwierige Situationen vorzubereiten. Resilienz hat viele Seiten, sie geht von Health and Safety über die Kommunikation, Produktion, Versicherungen, regulatorische Anforderungen. Und sie ist auch vielschichtig was mögliche Risiken angeht: vom Stromausfall über Datacenter Ausfall bis hin zur Ransomwareattacke. Da nützt es dann nämlich nicht, einen guten Notfallplan auf dem PC zu haben, oder die Kontaktliste auf dem Sharepoint. Denn: beides ist dann möglicherweise nicht mehr verfügbar. Business und IT, alles muss im Ernstfall ineinander greifen.
Welche Rolle kommt der Cyber Security zu, wenn es um Resilienz geht?
Eine ganz entscheidende. Der CISO und sein Team sind oft die Botschafter, diejenigen, die in und außerhalb der IT auf die Risiken und auch Chancen der Resilienz hinweisen. Oft sind auch die Projektbudgets dafür im Bereich Cyber Security angesiedelt. Für den CIO ist es oft schwieriger das Business auf einen IT Ausfall vorzubereiten – er wird dann gleich gefragt, ob er seinen Job gut macht, und damit konfrontiert, dass er den Ausfall doch verhindern sollte. Doch wir wissen mittlerweile: treffen kann es einen jeden, einen Ausfall kann man nicht zu 100% verhindern.
Welche sind die wichtigsten Compliance und Regulierungstrends 2023? Worauf müssen CIOs und CISOs achten?
An Regulierungen mangelst es uns nicht – da gibt es die, die die IT direkt betreffen und die, bei der die IT beim Datenerfassen und Auswerten unterstützt. Hier ist es wichtig, dass wir strategisch vorgehen und die richtigen Systeme für die richtigen Daten verwenden. Für den CISO haben Cyber Risk Ratings, Third Party Risk Management und Security Performance Management eine immense Bedeutung gewonnen. Dahinter stecken mittlerweile auch Rating Agenturen wie Moody‘s und ein gutes Cyber Risk Rating hilft auch bei der ESG Bewertung. Ich sehe das als eine tolle Chance für uns CISOs, weil es die Rolle und Bedeutung stärkt.
Wie verändern sich die Rollenbilder von CIO und CISO, wenn es um Cyber Security 2023 geht?
Die Visibilität ist stark gestiegen. Haben CIOs und vor allem CISOs in der Vergangenheit oft „hinter verschlossenen Türen“, also mit wenig Außenwirkung im eigenen Unternehmen gewirkt, ist nun auch eine stärkere Sichtbarkeit nach außen gegeben. Investoren, Aktionäre und andere Stakeholder interessieren sich dafür, wie eine Firma in punkto Cyber Security aufgestellt ist. CIOs und CISOs müssen Investoren Frage und Antwort stehen und manchmal wird man von Medien zu Artikeln oder Interviews angefragt.
Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hoch dynamischen Umfeld. Wie lässt sich das mit Forderung nach Stabilität, Widerstandsfähigkeit und Sicherheit unter einen Hut bringen?
Ich denke „Security by Design“ und „Privacy by Design“ dürfen nicht einfach nur leere Phrasen sein, sie können und müssen gelebt werden. Und das geht in der Praxis auch. Nur ist es nicht in allen Unternehmen selbstverständlich. Je früher CIOs und CISOs in Projekte eingebunden werden, desto mehr werden sie zum strategischen Partner und zum Enabler. Und sie können Projekte ohne allzugroßen Aufwand in eine stabile, widerstandsfähige und sichere Bahn bringen. Doch wenn wir erst ganz am Schluss zu einem Projekt dazugerufen werden, ist die Gefahr groß, dass Datenschutz und Sicherheit nicht gewährleistet sind, und wenn man dann die Stop-Karte zieht, wird man schnell mal zum „Disabler“. Ein gut gelebtes Projektmanagement und die entsprechenden Prozesse helfen dabei ungemein, dass es nicht so weit kommt.
Zur besseren Lesbarkeit dieses Blogartikels verwenden wir das generische Maskulinum. Die in diesem Blogartikel verwendeten Personenbezeichnungen beziehen sich – sofern nicht anders kenntlich gemacht – auf alle Geschlechter.
Gender-Hinweis:
Zur besseren Lesbarkeit dieses Blogartikels verwenden wir das generische Maskulinum. Die in diesem Blogartikel verwendeten Personenbezeichnungen beziehen sich – sofern nicht anders kenntlich gemacht – auf alle Geschlechter.