CISO – wir machen mehr als Cyber

Täglich erhalte ich diverse Anfragen zu Tätigkeiten rund um “Cyber Security”.

Dabei fällt mir immer öfter auf, dass es den Unternehmen schwer zu fallen scheint, den konkreten Bedarf zu formulieren und abzugrenzen.

Klar – Cyber- / IT- und Informationssicherheit hängen sehr eng zusammen.

Ein Anbieter fasst sein Jobangebot unter dem Begriff “Cyber Security Vacancies” zusammen und es finden sich dort bunt gemischt:

    • Information Security Consultant
    • Senior Penetration Tester
    • GRC Security Specialist (Contract)
    • Cyber Security Architect (Application and Software)
    • Information Security Officer

Das ist nur ein Beispiel – es gibt noch viel mehr “Jobs” die unter dem Sammelbegriff angeboten werden.

Den Begriff “Cyber Security” finde ich bei wikipedia im Kontext “Part of a series on Information security”.
(https://en.wikipedia.org/wiki/Information_security)

Er wird im Teil “Computer Security” behandelt – einem Unterpunkt der Informationssicherheit.

Das deckt sich auch mit meinem Verständnis.

Was bringt mir das nun in der Praxis?

Grundsätzlich darf man nie vergessen, dass die Informationssicherheit nicht primär nur “technische Systeme” im Fokus hat.

Informationen sind nicht vom Medium abhängig und existieren deshalb eben auch nicht nur im “Cyber-Raum”.

Die “Computer Security” hat z.B. einen anderen Blick auf ein Home Office als die “Information Security”.

    • Als CISO geht es mir um das “herumliegende Papier”, wozu auch eine handschriftliche Notiz zählt.
    • Ich schaue auf das Fenster im Erdgeschoß durch welches Passanten einen direkten Blick auf den Monitor haben.
    • Mir fällt auf, wenn ich bei einem Teams Chat im Hintergrund fremde Stimmen höre, die zu einem “Co-Working Umfeld” gehören.
    • Das Geschäftstelefonat während einer Zugfahrt könnte ein Problem sein.

Die Rolle eines CISO ist keine “Linienfunktion“, sondern eine “Stabsfunktion”.

Das wird deutlich in der Norm:

“Die oberste Leitung muss in Bezug auf das Informationssicherheitsmanagementsystem Führung und Verpflichtung zeigen, indem sie:”

Mir gefällt der Begriff der “obersten Leitung”.

Tatsächlich erzwingt die Norm es nicht, dass der CISO ein Teil des Management Teams sein muss. Die “oberste Leitung” wird die Aufgabe in der Regel delegieren.

Ich habe auch schon gehört, dass Unternehmen es als eine unnötige “Hervorhebung” der Rolle ansehen und deshalb der CISO “unter” dem IT-Leiter tätig werden soll.

Aber – wie kann ich dann die “nicht technischen Aspekte” der Informationssicherheit berücksichtigen, wenn meine Einheit sich gerade nur mit den technischen (IT) Themen befasst?

Das ist nicht unmöglich, aber schwierig.

Hinzu kommt, dass ein CISO viel mehr “Input” aus dem Unternehmen braucht als nur das, was er vielleicht vom IT-Leiter (auf Basis seiner Position) berichtet bekommt.

Um Schwachstellen und Risiken identifizieren zu können, muss ich erst einmal einen sehr breiten Blick auf das Unternehmen werfen.

Dazu gehören auch “Sales”, “Dev”, “HR” und andere Bereiche als die “IT”.

Arbeite ich als Mitarbeiter der IT-Leiters, kann ich das gar nicht, weil man mir viele Prozesse und Informationen nicht zur Verfügung stellen wird.

Als CISO will ich kein “Bestimmer” sein, sondern ein Berater.

Ich habe kein Interesse daran, die Entscheidungen im Unternehmen zu treffen, was in der Regel die Kernaufgabe des Managements ist.

Mein Job ist es, den Entscheidern im richtigen Moment die richtigen Hinweise zu geben.

Während das Management und die Führungskräfte ihre tägliche Arbeit machen, schwebe ich quasi immer über diesen und betrachte alles mit der “CISO Brille”.

    • Da will der Vertriebsleiter eine Marketingaktion starten und Kundenadressen an einen Dienstleister geben – ich erinnere ihn an den Datenschutz und betrachte das entstehende Risiko.
      Klar kann man einen direkten Zugriff auf das CRM des Unternehmens einrichten – wäre das Risiko nicht kleiner, wenn ich nur eine Liste herausgebe?
    • Die Personalabteilung hat ein neues Tool, um Reisen zu buchen – ist die dafür benötigte App auf dem Diensthandy vielleicht ein Sicherheitsproblem?
    • Der IT-Leiter will mehr externe Dienstleister in der Administration einsetzen – welche Rechte brauchen diese und mit welchen Risiken muss ich dabei rechnen?

Wie du siehst, geht es bei meiner Arbeit nicht primär um technische Systeme.

Der Informationsschutz greift dann, wenn es um Risiken im Umgang mit Informationen geht.

Taucht der Begriff “Cyber” auf, dann grummelt mein CISO-Bauch – Cyber = Wortbildungselement mit der Bedeutung „im Internet befindlich, es betreffend“.
(https://de.wiktionary.org/wiki/cyber-)

Nein – der CISO ist mehr als ein “Cyber-Sicherheits-Experte”.
Er ist ein Generalist, der alle Prozesse und Risiken betrachtet.

    • Gehe ich durch ein Büro, fällt mir das offene Fenster auf, durch das man leicht einen Ordner auf dem Regal greifen könnte.
    • Ich sehe den unverschlossenen Schrank in der Werkstatt mit technischen Zeichnungen von Prototypen.
    • Und ich betrachte die Personen in der häuslichen Gemeinschaft eines Home Office als Sicherheitsrisiko.

Vielleicht ist es mir mit diesem kurzen Überblick gelungen, dir den Nutzen eines CISO etwas näher zu bringen.

CISO – wir machen mehr als Cyber …