Am Wochenende stellte ich mir eine Frage, die mich nicht mehr losließ: Was macht eigentlich ein CISO? Auf den ersten Blick scheint die Antwort einfach – ein CISO schützt das Unternehmen vor Cyberangriffen, richtig? Schließlich steht das “Security” in seinem Titel: Chief Information Security Officer.
Aber wie immer, wenn ich mir nicht sicher bin, schaue ich in die Norm. Dort steht:
Diese Internationale Norm legt Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) fest. Die Einführung eines ISMS ist eine strategische Entscheidung einer Organisation. Sie richtet sich nach deren Bedürfnissen und Zielen, den Sicherheitsanforderungen, den organisatorischen Abläufen sowie nach Größe und Struktur der Organisation. Es ist davon auszugehen, dass sich alle diese Einflussgrößen im Laufe der Zeit ändern.
Das ISMS wahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch einen Risikomanagementprozess und gibt interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken.
Also, das ist die Sicht der 27001. Aber das beantwortet nicht meine Frage.
Im Kapitel 5 finde ich dann Aussagen wie:
Die oberste Leitung muss in Bezug auf das ISMS Führung und Verpflichtung zeigen, indem sie Personen anleitet und unterstützt, damit diese zur Wirksamkeit des ISMS beitragen können; Die oberste Leitung muss die Verantwortlichkeit und Befugnis zuweisen für das Sicherstellen, dass das ISMS die Anforderungen dieser Internationalen Norm erfüllt; und das Berichten an die oberste Leitung über die Leistung des ISMS.
Jetzt bin ich schlauer. Und was sagt die “allwissende KI” dazu?
Die Funktion eines “CISO” (Chief Information Security Officer) oder “Sicherheitsbeauftragten” wird in der Norm ISO 27001 nicht explizit beschrieben. Allerdings sind ihre Rollen und Verantwortlichkeiten in der Informationssicherheit implizit in vielen Aspekten der Norm enthalten. Ein CISO oder Sicherheitsbeauftragter ist für die Informationssicherheit in einer Organisation verantwortlich. Zu den Aufgaben eines CISO gehören die Entwicklung und Umsetzung von Cybersicherheitsstrategien, die Bewertung von Risiken, die Entwicklung und Umsetzung von Sicherheitsmaßnahmen, die Überwachung der Sicherheitslage und die Schulung von Mitarbeitern in Bezug auf Cybersicherheit.
Tatsächlich ist der Norm diese Rolle nicht so wichtig, weil die “oberste Leitung” die Verantwortung trägt. Der CISO ist eine Möglichkeit, wie das umgesetzt werden kann.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird da deutlicher und definiert im Grundschutzkatalog:
Ein Informationssicherheitsbeauftragter (kurz IS-Beauftragter oder ISB) ist für die operative Erfüllung der Aufgabe ‘Informationssicherheit’ zuständig. Andere Bezeichnungen sind CISO (Chief Information Security Officer) oder Informationssicherheitsmanager (ISM). Die Rolle des ISB sollte von einer Person mit eigener Fachkompetenz zur Informationssicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde wahrgenommen werden.
Damit sind wir zumindest bei der Definition einen Schritt weiter.
Jetzt ein praktisches Beispiel – im Unternehmen fällt die Internetanbindung vollständig und länger aus.
Das ist kein Job für den CISO, da er sich nur um Angriffe kümmert, oder?
Lassen Sie uns tiefer eintauchen und mit der ITIL (Information Technology Infrastructure Library) beginnen. Stellen Sie sich vor, die Internetverbindung in Ihrem Unternehmen fällt für eine längere Zeit aus. In der Welt der ITIL wird dies als “maßgeblicher Vorfall” oder “Major Incident” betrachtet.
Die Priorität eines solchen Vorfalls ergibt sich aus zwei Schlüsselfaktoren: Dringlichkeit und Auswirkung. Die Dringlichkeit ist ein Maß dafür, wie schnell der Vorfall gelöst werden muss. Die Auswirkung hingegen zeigt, wie umfangreich der Vorfall ist und welchen potenziellen Schaden er verursachen kann. Ein längerer Ausfall der Internetanbindung kann erhebliche Auswirkungen auf die Geschäftsprozesse einer Organisation haben und erfordert daher eine schnelle Lösung. Daher könnte es als ein Vorfall mit hoher Dringlichkeit und hoher Auswirkung eingestuft werden.
Jetzt haben wir also einen Vorfall aus Sicht der IT, aber wie bewerten wir das im Kontext der Informationssicherheit? Hier greift zweifellos der Aspekt der Verfügbarkeit von Informationen. Ohne Internet hat man keinen Zugang zu Informationen aus diesem Bereich.
Damit ergibt sich eine klare Zuständigkeit für den CISO.
Aber -der CISO ist letztlich nur der Erfüllungsgehilfe der Norm und der “obersten Leitung”. Seine Aufgabe besteht nicht darin, sich um den IT-Vorfall selbst zu kümmern. Seine Aufgabe besteht darin, dafür zu sorgen bzw. zu überwachen, dass der (ITIL-)Vorfall auch aus der Sicht der Informationssicherheit richtig behandelt wird. Egal ob es sich um einen gezielten Angriff handelt oder nicht.
Genau für diesen Fall schafft er mit dem ISMS den notwendigen Rahmen.
Kommen wir nun zurück zur eigentlichen Frage: Um was kümmert sich der CISO? Klar ist, dass er nicht nur dann verantwortlich ist, wenn es einen “Angriff” gegeben hat.
Der Begriff “Sicherheit” / “Security” stellt aus meiner Sicht das grundlegende Problem dar. An was denkst du bei Sicherheit sofort? An “Angriff” und “Verteidigung”?
Für mich erklärt diese kleine “Wortbesonderheit” sehr gut, weshalb viele Entscheider – gerade auch in der IT – sich schwer damit tun, den CISO richtig einzuordnen. Es hat auch seinen Grund, weshalb der CISO nie “unter der IT” eingebunden sein soll. Hier ist selbst die Norm relativ klar, da der CISO dem ISMS dient, welches direkt der obersten Leitung zugeteilt ist.
Persönlich fände ich es besser, wenn wir in Zukunft vom “CIPO” sprechen würden. “P” wie “Protection” oder “Schutz”. Die Aufgabe des CIPO ist der Schutz von Verfügbarkeit, Integrität und Vertraulichkeit von Informationen in einem Unternehmen. Er schützt gleichsam vor Angriffen, aber auch bei Feuer- und Wasserschäden oder eben einem technischen Ausfall von Systemen.
Jetzt muss ich es irgendwie nur noch schaffen, aus dem CISO einen CIPO zu machen. Bei meiner eher überschaubaren Reichweite wird das eine große Herausforderung.
Doch ein CIPO gibt nicht auf. Also, auf geht’s! 😉
At the weekend, I asked myself a question that stuck with me: What does a CISO actually do? At first glance, the answer seems simple – a CISO protects the company from cyber attacks, right? After all, the “Security” is in his title: Chief Information Security Officer.
But as always, when I’m not sure, I look at the standard. It says:
This International Standard specifies requirements for the establishment, implementation, maintenance and continual improvement of an information security management system (ISMS). The introduction of an ISMS is a strategic decision for an organisation. It is based on the needs and objectives, security requirements, organisational processes and the size and structure of the organisation. It can be assumed that all of these influencing factors will change over time.
The ISMS safeguards the confidentiality, integrity and availability of information through a risk management process and gives interested parties confidence that risks are being managed appropriately.
So, that’s the view of 27001, but that doesn’t answer my question.
In chapter 5 I find statements like:
Top management shall demonstrate leadership and commitment to the ISMS by providing guidance and support to individuals so that they can contribute to the effectiveness of the ISMS; Top management shall assign responsibility and authority for ensuring the effectiveness of the ISMS; Top management shall provide guidance and support to individuals so that they can contribute to the effectiveness of the ISMS.
Now I’m smarter. And what does the “omniscient AI” say?
The function of a “CISO” (Chief Information Security Officer) or “security officer” is not explicitly described in the ISO 27001 standard. However, their roles and responsibilities in information security are implicitly included in many aspects of the standard. A CISO or security officer is responsible for information security in an organisation. A CISO’s responsibilities include developing and implementing cybersecurity strategies, assessing risks, developing and implementing security measures, monitoring the security posture and training employees on cybersecurity.
In fact, the norm is that this role is not as important because “top management” is in charge. The CISO is one way in which this can be implemented.
The German Federal Office for Information Security (BSI) is clearer and defines this in the basic protection catalogue:
An information security officer (IS officer or ISB for short) is responsible for the operational fulfilment of the task of ‘information security’. Other designations are CISO (Chief Information Security Officer) or Information Security Manager (ISM). The role of the ISB should be performed by a person with their own expertise in information security in a staff unit of a company or public authority.
So we are at least one step closer to the definition.
Now a practical example – the internet connection in the company fails completely and for a longer period of time.
That’s not a job for the CISO as he only deals with attacks, is it?
Let’s dive deeper and start with the ITIL (Information Technology Infrastructure Library). Imagine the internet connection in your organisation goes down for an extended period of time. In the world of ITIL, this is considered a “significant incident” or “major incident”.
The priority of such an incident is determined by two key factors: urgency and impact. Urgency is a measure of how quickly the incident needs to be resolved. The impact, on the other hand, shows how extensive the incident is and what potential damage it can cause. A prolonged internet connection outage can have a significant impact on an organisation’s business processes and therefore requires a quick solution. It could therefore be categorised as a high urgency, high impact incident.
So now we have an incident from an IT perspective, but how do we assess this in the context of information security? Without a doubt, the aspect of information availability comes into play here. Without the Internet, there is no access to information in this area.
This results in a clear responsibility for the CISO.
However, the CISO is ultimately only the fulfilment assistant of the standard and the “top management”. His task is not to deal with the IT incident itself. Their task is to ensure and monitor that the (ITIL) incident is handled correctly from an information security perspective. Regardless of whether it is a targeted attack or not.
It is precisely for this case that the ISMS creates the necessary framework.
Let us now return to the actual question: What does the CISO do? It is clear that he is not only responsible if there has been an “attack”.
In my view, the term “safety” / “security” is the fundamental problem. What do you immediately think of when you think of security? Of “attack” and “defence”?
For me, this little “word peculiarity” explains very well why many decision-makers – especially in IT – find it difficult to categorise the CISO correctly. There is also a reason why the CISO should never be integrated “under IT”. Even the standard is relatively clear here, as the CISO serves the ISMS, which is directly assigned to top management.
Personally, I think it would be better if we referred to the “CIPO” in future. “P” as in “Protection” or “Schutz”. The task of the CIPO is to protect the availability, integrity and confidentiality of information in an organisation. It protects against attacks, as it were, but also against fire and water damage or even a partial loss of data.
Now I just have to somehow manage to turn the CISO into a CIPO. With my rather limited reach, that will be a big challenge.
But a CIPO never gives up. So let’s get going 😉