Bislang hat der CSO (Chief Security Officer), also der leitende Sicherheitsverantwortliche, an den CIO (Chief Information Officer), also den IT-Leiter im Unternehmen, berichtet. [...]
Sicherheit wurde viele Jahre lang ganz klar als eine Komponente der IT betrachtet wurde. Doch genau dies ändert sich zusehends – aus einer Reihe von Gründen, wie im jüngsten Bericht „Governance of Cybersecurity 2015“ von Palo Alto Networks hervorgehoben wird. Europa ist hierbei die einzige Region mit einer beträchtlichen Veränderung bei der Berichterstattung von CSO (oder CISO; Chief Information Security Officer) an den CIO – von 50 Prozent im Jahr 2012 auf 33 Prozent im Jahr 2015.
Das Thema Cybersicherheit erreicht zunehmend die Vorstandsetage, was die Investitionen und das Engagement für mehr Sicherheit fördert. Die Rolle des CSO verlagert sich dabei von der IT-Risiko- zur Geschäftsrisiko-Ebene. CSOs berichten demnach immer häufiger entweder an den Aufsichtsrat (zur Einbindung in die rechtlichen Konsequenzen bei Sicherheitsvorfällen), den Finanzvorstand (aufgrund der potenziellen oder bereits reellen geschäftlichen Auswirkungen) oder direkt an den CEO (aufgrund der höheren Bedeutung der IT-Sicherheit für das Gesamtgeschäft).
Sicherheit gewinnt mehr und mehr an strategischer Bedeutung, denn das Schadenpotenzial ist mittlerweile in hohem Maße unternehmenskritisch. In seiner neuen Rolle löst sich der CSO zunehmend vom CIO und kommuniziert stärker mit der Geschäftsführungsebene. Die Hauptaufgabe des CIO wiederum ist es, dafür zu sorgen, dass die IT das operative Geschäft effektiv unterstützt. Eine gesunde Spannung zwischen den Geschäfts- und Sicherheitsanforderungen ermöglicht es neue Geschäftsmöglichkeiten zu erschließen, ohne dass dies auf Kosten der Sicherheit geht. Solange der CSO – wie bisher in der Regel – an den CIO berichtet, besteht die Sorge, dass sich Interessenkonflikte darauf auswirken könnten, ausgewogene Entscheidungen zu treffen.
* Greg Day ist Regional Chief Security Officer EMEA bei Palo Alto Networks.
Be the first to comment