Warum Sie einen Chief Trust Officer brauchen

Die Verantwortung für Datenschutz und Compliance gehört ins C-Level-Management. Dafür genügt es nicht, den IT-Leiter in CIO umzubenennen. Doch braucht man dafür eine neue Management-Position? Und wenn ja, welche Fähigkeiten verlangt diese? [...]

Foto: bertholdbrodersen/Pixabay

In vielen Unternehmen – aber längst nicht allen – gibt es inzwischen neben der CIO-Rolle einen Chief Information Security Officer (CISO). Dies zeigt, welche Bedeutung Security-Themen beigemessen wird. Und das zu Recht, denn Verstöße gegen Datenschutz-Richtlinien oder Cyberattacken, die nicht vereitelt werden können, kosten nicht nur viel Geld, sondern auch das Vertrauen der Kunden. Im digitalen Zeitalter hängt schnell die Existenz des gesamten Unternehmens davon ab, wie sicher es im digitalen Raum agiert.

Die bisherigen Verantwortlichkeiten greifen inzwischen zu kurz. Während CIOs häufig noch immer vor allem die Infrastrukturthemen bearbeiten, ergänzen CISOs diese mit Sicherheitsstrategien: von abteilungsübergreifenden, DSGVO-konformen Datenschutzkonzepten über Compliance-konformes Sourcing bis hin zu Zugangskontrollen und sicheren IoT-Anwendungen.

Aber schon diese Aufzählung zeigt, wie Silo-artig die Herangehensweise in der Praxis ist. Strukturen in Unternehmen wachsen eben über längere Zeiträume hinweg organisch und können nur äußerst selten von oben nach unten organisiert aufgebaut werden.

5 Gründe für einen Chief Trust Officer

Chief Trust Officers (CTrO) sollen alle Belange rund um Sicherheit und IT-Security zusammenbringen – und zwar immer: Bei jedem Projekt, bei jeder Initiative und bei jeder mehr oder minder strategischen Unternehmensentscheidung sollten Datenschutz und Datensicherheit von Beginn an mitgedacht werden. Hier die fünf wesentlichen Gründe, warum Betriebe CTrOs brauchen.

1. Das Vertrauen der Geschäftspartner für nachhaltigen Geschäftserfolg bewahren

Ob Lieferanten und Kunden zu langjährigen Geschäftspartnern werden, hängt entscheidend vom gegenseitigen Vertrauen ab. In einer digitalen Geschäftswelt heißt das im Klartext: Die großen Mengen an geschäftlichen Daten sind wertvoll, bisweilen geschäftskritisch. Sie sind zu schützen und entsprechend sensibel zu behandeln – und das nicht nur rein technisch durch Verschlüsselungsalgorithmen oder Identity Management.

Es geht außerdem um das große Ganze: eine seriöse Geschäftsethik in Bezug auf den digitalen Raum insgesamt. Das mag etwas pathetisch anmuten, ist für eine vertrauensvolle Zusammenarbeit mit den Geschäftspartnern aber unerlässlich. CTrOs sind dafür verantwortlich, dass das Unternehmen sich selbst eine Strategie auferlegt, in der langfristige Sicherheit nach innen und außen der Maßstab ist. Das Ziel besteht darin, die Integrität des Unternehmens sicherzustellen.

2. Datenschutz und Datensicherheit als Grundprinzip jeder unternehmerischen Entscheidung

Die übergreifende, Vertrauen schaffende und Vertrauen erhaltende Unternehmensstrategie muss kontinuierlich mit Leben gefüllt werden. Monetäre Aspekte, sprich Umsatz und Gewinn, bekommen nun eine neue Flanke: Genau wie beispielsweise Umweltverträglichkeit oder soziale Aspekte bei unternehmerischen Initiativen eine Rolle spielen, tun dies nun auch Datenschutz und Datensicherheit.

Bei der Entwicklung neuer Angebote etwa, der Definition der Unternehmensstrategie für die nächsten Jahre oder der Wahl von Dienstleistern und Zulieferern – stets hinterfragt ein CTrO, ob alles dem eigenen Sicherheitsmaßstab entspricht. Aber statt, wie bisher, Sicherheit und Trust in ein bereits entwickeltes Produkt oder eine bestehende Geschäftsbeziehung einzubauen, werden sie nun zur Grundvoraussetzung von Beginn an.

Nur so können Unternehmen sicherstellen, dass die Sicherheitsstrategie übergreifend umgesetzt wird und nicht einzeln je Projekt, Anwendung, Abteilung oder Silo.

3. Compliance und Governance sinnvoll verbinden

Was nach einer Selbstverständlichkeit klingt, ist in der Praxis heute vielerorts noch immer nicht angekommen: Compliance und Governance gehören untrennbar zusammen und sollten nicht von unterschiedlichen Personen verantwortet werden. Während der Fokus bei der Definition von Compliance-Richtlinien auf dem Unternehmen und seinem Schutz liegt, kommt die Governance-Sicht – also der Blickwinkel der Regulierer – oft zu kurz.

Werden beide Themengebiete in ihrer Abhängigkeit voneinander betrachtet, lassen sich zwei Fliegen mit einer Klappe schlagen: Regulatorische Anforderungen werden erfüllt und das Unternehmen zugleich sinnvoll vor wirtschaftlichen und reputatorischen Schäden geschützt. Grund genug, diese Aufgaben in der CTrO-Rolle zusammenfließen zu lassen.

4. Sicherheits-Initiativen vorausschauend und gezielt vorantreiben

Eine Position im Unternehmen, die sich ausschließlich um Sicherheits- und Trust-Themen kümmern kann, ist zweifelsohne besser als jemand, der diese Aufgaben zusätzlich zu seinem Tagesgeschäft erledigen soll. Daten- und Infrastruktur-Silos lassen sich nicht von heute auf morgen homogenisieren, der Weg in die Cloud und die digitale Transformation nicht nebenbei erledigen.

CTrOs können diese und ähnliche Themen strategisch und in Abstimmung mit allen anderen Bereichen des Unternehmens abgestimmt aufsetzen und vorantreiben. Allein diese Verantwortung ist hoch genug, um die neue C-Level-Rolle zu rechtfertigen – insbesondere, wenn man die drohenden Risiken und die langfristige Ausrichtung im Wettbewerbsumfeld berücksichtigt.

5. Konkrete Maßnahmen in der IT-Organisation umsetzen

Die beste Strategie ist umsonst, wenn es nicht gelingt, geeignete Maßnahmen im Unternehmen praktisch umzusetzen. Dabei geht es wieder weniger um technische Details als um Maßnahmen, die die Unternehmensstrategie insgesamt stützen. Soll die Organisation beispielsweise wachsen, muss ein Arbeitgeber IT-Mitarbeiter einstellen, damit sowohl die Entwicklung als auch die Support-Teams skalieren können. 

Cybersicherheit und konsistente Nutzererfahrungen bei neuen und bestehenden Produkten sind sicherzustellen. Neue DevOps-Initiativen, Customer-Care-Programme oder der Eintritt in neue Märkte mit neuen Regularien und Anforderungen: Das Tagesgeschäft hält zahlreiche Aufgaben bereit, die CTrOs unterstützen können.

Welche Skills ein Chief Trust Officer braucht

Die Aufgaben eine:r CTrO sind breit gefächert und hängen natürlich im Detail jeweils von der Art und Aufstellung des jeweiligen Unternehmens ab. In jedem Fall aber sollte die Person umfassende fachliche Skills sowie Management-Erfahrung mitbringen. Im Unterschied zu CIO oder CISO vertritt ein CTrO keinen echten eigenen Bereich, sondern will die Sicherheitsstrategie in allen Initiativen verankern.

Strategie, Unternehmensberatung, Projektleitung und Sicherheitsverantwortung spielen hier eine wichtige Rolle – keine einfache, aber auf jeden Fall eine abwechslungsreiche Aufgabe. Verhandlungsgeschick, Führungs- und Lenkungsqualitäten sowie konzeptionelle Stärken sollte ein CTrO auf jeden Fall mitbringen. Ebenso wie IT-Kompetenz und Branchen-Know-how.

Und noch ein guter Grund, die CTrO-Position in die eigenen Strukturen zu implementieren: Es ist die perfekte Gelegenheit, alle vorhandenen Schutz- und Sicherheitsmaßnahmen einmal genau unter die Lupe zu nehmen.

Sehr wahrscheinlich ergeben sich schnell Verbesserungspotenziale und Strategie-Lücken, die geschlossen werden wollen. Mit der Etablierung der CTrO-Rolle stellen Unternehmen sicher, dass Datenschutz und Datensicherheit den Stellenwert erhalten, den sie verdienen, um langfristig das Vertrauen aller Geschäftspartner zu erhalten. (hk/fm)

*Mike Arrowsmith leitet als Chief Trust Officer bei NinjaOne alle Sicherheits- und IT-Initiativen. Der ehemalige Sicherheitschef von Splunk legt einen besonderen Fokus auf die Evaluierung und Optimierung der Security-, IT- und DevOps-Infrastruktur.


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*