Warum Sie einen Chief Trust Officer brauchen

Die Verantwortung für Datenschutz und Compliance gehört ins C-Level-Management. Dafür genügt es nicht, den IT-Leiter in CIO umzubenennen. Doch braucht man dafür eine neue Management-Position? Und wenn ja, welche Fähigkeiten verlangt diese? [...]

Foto: bertholdbrodersen/Pixabay

In vielen Unternehmen – aber längst nicht allen – gibt es inzwischen neben der CIO-Rolle einen Chief Information Security Officer (CISO). Dies zeigt, welche Bedeutung Security-Themen beigemessen wird. Und das zu Recht, denn Verstöße gegen Datenschutz-Richtlinien oder Cyberattacken, die nicht vereitelt werden können, kosten nicht nur viel Geld, sondern auch das Vertrauen der Kunden. Im digitalen Zeitalter hängt schnell die Existenz des gesamten Unternehmens davon ab, wie sicher es im digitalen Raum agiert.

Die bisherigen Verantwortlichkeiten greifen inzwischen zu kurz. Während CIOs häufig noch immer vor allem die Infrastrukturthemen bearbeiten, ergänzen CISOs diese mit Sicherheitsstrategien: von abteilungsübergreifenden, DSGVO-konformen Datenschutzkonzepten über Compliance-konformes Sourcing bis hin zu Zugangskontrollen und sicheren IoT-Anwendungen.

Aber schon diese Aufzählung zeigt, wie Silo-artig die Herangehensweise in der Praxis ist. Strukturen in Unternehmen wachsen eben über längere Zeiträume hinweg organisch und können nur äußerst selten von oben nach unten organisiert aufgebaut werden.

5 Gründe für einen Chief Trust Officer

Chief Trust Officers (CTrO) sollen alle Belange rund um Sicherheit und IT-Security zusammenbringen – und zwar immer: Bei jedem Projekt, bei jeder Initiative und bei jeder mehr oder minder strategischen Unternehmensentscheidung sollten Datenschutz und Datensicherheit von Beginn an mitgedacht werden. Hier die fünf wesentlichen Gründe, warum Betriebe CTrOs brauchen.

1. Das Vertrauen der Geschäftspartner für nachhaltigen Geschäftserfolg bewahren

Ob Lieferanten und Kunden zu langjährigen Geschäftspartnern werden, hängt entscheidend vom gegenseitigen Vertrauen ab. In einer digitalen Geschäftswelt heißt das im Klartext: Die großen Mengen an geschäftlichen Daten sind wertvoll, bisweilen geschäftskritisch. Sie sind zu schützen und entsprechend sensibel zu behandeln – und das nicht nur rein technisch durch Verschlüsselungsalgorithmen oder Identity Management.

Es geht außerdem um das große Ganze: eine seriöse Geschäftsethik in Bezug auf den digitalen Raum insgesamt. Das mag etwas pathetisch anmuten, ist für eine vertrauensvolle Zusammenarbeit mit den Geschäftspartnern aber unerlässlich. CTrOs sind dafür verantwortlich, dass das Unternehmen sich selbst eine Strategie auferlegt, in der langfristige Sicherheit nach innen und außen der Maßstab ist. Das Ziel besteht darin, die Integrität des Unternehmens sicherzustellen.

2. Datenschutz und Datensicherheit als Grundprinzip jeder unternehmerischen Entscheidung

Die übergreifende, Vertrauen schaffende und Vertrauen erhaltende Unternehmensstrategie muss kontinuierlich mit Leben gefüllt werden. Monetäre Aspekte, sprich Umsatz und Gewinn, bekommen nun eine neue Flanke: Genau wie beispielsweise Umweltverträglichkeit oder soziale Aspekte bei unternehmerischen Initiativen eine Rolle spielen, tun dies nun auch Datenschutz und Datensicherheit.

Bei der Entwicklung neuer Angebote etwa, der Definition der Unternehmensstrategie für die nächsten Jahre oder der Wahl von Dienstleistern und Zulieferern – stets hinterfragt ein CTrO, ob alles dem eigenen Sicherheitsmaßstab entspricht. Aber statt, wie bisher, Sicherheit und Trust in ein bereits entwickeltes Produkt oder eine bestehende Geschäftsbeziehung einzubauen, werden sie nun zur Grundvoraussetzung von Beginn an.

Nur so können Unternehmen sicherstellen, dass die Sicherheitsstrategie übergreifend umgesetzt wird und nicht einzeln je Projekt, Anwendung, Abteilung oder Silo.

3. Compliance und Governance sinnvoll verbinden

Was nach einer Selbstverständlichkeit klingt, ist in der Praxis heute vielerorts noch immer nicht angekommen: Compliance und Governance gehören untrennbar zusammen und sollten nicht von unterschiedlichen Personen verantwortet werden. Während der Fokus bei der Definition von Compliance-Richtlinien auf dem Unternehmen und seinem Schutz liegt, kommt die Governance-Sicht – also der Blickwinkel der Regulierer – oft zu kurz.

Werden beide Themengebiete in ihrer Abhängigkeit voneinander betrachtet, lassen sich zwei Fliegen mit einer Klappe schlagen: Regulatorische Anforderungen werden erfüllt und das Unternehmen zugleich sinnvoll vor wirtschaftlichen und reputatorischen Schäden geschützt. Grund genug, diese Aufgaben in der CTrO-Rolle zusammenfließen zu lassen.

4. Sicherheits-Initiativen vorausschauend und gezielt vorantreiben

Eine Position im Unternehmen, die sich ausschließlich um Sicherheits- und Trust-Themen kümmern kann, ist zweifelsohne besser als jemand, der diese Aufgaben zusätzlich zu seinem Tagesgeschäft erledigen soll. Daten- und Infrastruktur-Silos lassen sich nicht von heute auf morgen homogenisieren, der Weg in die Cloud und die digitale Transformation nicht nebenbei erledigen.

CTrOs können diese und ähnliche Themen strategisch und in Abstimmung mit allen anderen Bereichen des Unternehmens abgestimmt aufsetzen und vorantreiben. Allein diese Verantwortung ist hoch genug, um die neue C-Level-Rolle zu rechtfertigen – insbesondere, wenn man die drohenden Risiken und die langfristige Ausrichtung im Wettbewerbsumfeld berücksichtigt.

5. Konkrete Maßnahmen in der IT-Organisation umsetzen

Die beste Strategie ist umsonst, wenn es nicht gelingt, geeignete Maßnahmen im Unternehmen praktisch umzusetzen. Dabei geht es wieder weniger um technische Details als um Maßnahmen, die die Unternehmensstrategie insgesamt stützen. Soll die Organisation beispielsweise wachsen, muss ein Arbeitgeber IT-Mitarbeiter einstellen, damit sowohl die Entwicklung als auch die Support-Teams skalieren können. 

Cybersicherheit und konsistente Nutzererfahrungen bei neuen und bestehenden Produkten sind sicherzustellen. Neue DevOps-Initiativen, Customer-Care-Programme oder der Eintritt in neue Märkte mit neuen Regularien und Anforderungen: Das Tagesgeschäft hält zahlreiche Aufgaben bereit, die CTrOs unterstützen können.

Welche Skills ein Chief Trust Officer braucht

Die Aufgaben eine:r CTrO sind breit gefächert und hängen natürlich im Detail jeweils von der Art und Aufstellung des jeweiligen Unternehmens ab. In jedem Fall aber sollte die Person umfassende fachliche Skills sowie Management-Erfahrung mitbringen. Im Unterschied zu CIO oder CISO vertritt ein CTrO keinen echten eigenen Bereich, sondern will die Sicherheitsstrategie in allen Initiativen verankern.

Strategie, Unternehmensberatung, Projektleitung und Sicherheitsverantwortung spielen hier eine wichtige Rolle – keine einfache, aber auf jeden Fall eine abwechslungsreiche Aufgabe. Verhandlungsgeschick, Führungs- und Lenkungsqualitäten sowie konzeptionelle Stärken sollte ein CTrO auf jeden Fall mitbringen. Ebenso wie IT-Kompetenz und Branchen-Know-how.

Und noch ein guter Grund, die CTrO-Position in die eigenen Strukturen zu implementieren: Es ist die perfekte Gelegenheit, alle vorhandenen Schutz- und Sicherheitsmaßnahmen einmal genau unter die Lupe zu nehmen.

Sehr wahrscheinlich ergeben sich schnell Verbesserungspotenziale und Strategie-Lücken, die geschlossen werden wollen. Mit der Etablierung der CTrO-Rolle stellen Unternehmen sicher, dass Datenschutz und Datensicherheit den Stellenwert erhalten, den sie verdienen, um langfristig das Vertrauen aller Geschäftspartner zu erhalten. (hk/fm)

*Mike Arrowsmith leitet als Chief Trust Officer bei NinjaOne alle Sicherheits- und IT-Initiativen. Der ehemalige Sicherheitschef von Splunk legt einen besonderen Fokus auf die Evaluierung und Optimierung der Security-, IT- und DevOps-Infrastruktur.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*