IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Die Auswirkungen der fortschreitenden digitalen Transformation sind nicht nur im IT- und im Business-Bereich, sondern auch beim Thema Cyber-Sicherheit zu spüren. Dementsprechend verändert sich auch die Rolle des Chief Information Security Officer (CISO), die immer mehr Managementfähigkeiten und Kooperationsbereitschaft verlangt.
Wie wird Ihre Leistung in Ihrer Rolle gemessen (KPIs)? Quelle: PAC
Die Rolle der für die Studie „What It Takes to Be a CISO: Success and Leadership in Corporate IT Security“ befragten CISOs, die PAC im Auftrag von Kaspersky Lab durchgeführt hat, lasse sich an den KPIs festmachen, nach denen ihre Leistung beurteilt wird, an der Abteilung, für die sie arbeiten, und an ihren Hauptaufgaben. Diese KPIs spiegeln die Prioritäten des CISO wider: Schutz des Unternehmens vor Cyber-Bedrohungen und deren Auswirkungen, Reduzierung von Schwachstellen, Lösung von Compliance-Problemen und Einhaltung der Budgets.
Wie die Leistung des CISO gemessen wird
Ein Blick darauf, wie die Leistung der CISOs gemessen wird, lasse erhebliche Unterschiede bei den KPIs erkennen, je nachdem, wie lange ein CISO diese Rolle bereits innehat. Interessanterweise werden CISOs mit kürzerer Amtszeit seltener anhand der vollen Palette an KPIs bewertet.
Es bestehen auch große geografische Unterschiede. So ist beispielsweise die Qualität und Geschwindigkeit der Reaktion auf Störfälle ein KPI für 80 Prozent der befragten CISOs in der APAC-Region, während in Lateinamerika nur 68 Prozent der CISOs an diesem KPI gemessen werden.
CISOs, die ihrer Meinung nach nicht ausreichend an unternehmerischen Entscheidungen beteiligt sind, werden zu 9 Prozent seltener nach der Häufigkeit schwerer Sicherheitsverletzungen und zu 10 Prozent seltener nach ihrer Compliance-Bilanz beurteilt. Dies scheint die Tatsache widerzuspiegeln, dass diese CISOs weniger in unternehmerische Entscheidungen eingebunden werden.
Einbindung der CISOs auf Geschäftsleitungsebene
Die Einbindung der CISOs ist eine Sache, die Hierarchieebenen im Unternehmen eine andere. „Normalerweise würde man davon ausgehen, dass ein Chief Information Security Officer Mitglied der Geschäftsleitung ist. Es sitzen jedoch nur 26 Prozent der befragten CISOs im Vorstand und nehmen an allen Sitzungen teil“, erläutert Wolfgang Schwab, Principal Consultant bei PAC. In der Regel finde man CISOs auf Geschäftsleitungsebene nur in Unternehmen mit hohem Digitalisierungsgrad oder in sensiblen Sektoren, sowie in sehr großen Firmen. Dies sei häufig gleichbedeutend mit einem hohen Reifegrad bei der Cyber-Sicherheit. Nur 58 Prozent der befragten CISOs sind der Ansicht, angemessen in unternehmerische Entscheidungen eingebunden zu sein.
Allerdings glauben nur 25 Prozent der befragten CISOs, die nicht Mitglied der Geschäftsleitung sind, dass sie dies sein sollten. Der Rest ist zufrieden mit der aktuellen Position. In Europa denken 41 Prozent der CISOs, sie sollten eigentlich Teil der Geschäftsleitung sein, während in den GUS-Ländern nur 13 Prozent der befragten CISOs dieser Meinung sind.
Eine weitere Erkenntnis aus der Studie ist, dass sich ein Großteil der CISOs selbst nicht als Business Manager sieht – was normalerweise ein wesentliches Element einer Position auf CxO-Ebene ist – sondern eher als Fachexperten. Manager für Cyber-Sicherheit gehört zu den techniklastigsten Rollen im Unternehmen, und so werden diese Mitarbeiter auch bewertet.
Wann bittet Sie die Geschäftsleitung um Rat? Quelle: PAC
CISOs als Ratgeber
Insbesondere CISOs, die stärker mit den Geschäftsbereichen zusammenarbeiten möchten, werden von der Geschäftsleitung häufiger um Rat gefragt als CISOs, die hier kein Interesse zeigen. CISOs, die in ihrem Unternehmen gut vernetzt sind und bereit sind, mit den verschiedenen Geschäftsbereichen zu kooperieren, werden als wertvollere Ratgeber wahrgenommen als Kollegen, die sich hier nicht engagieren. Dieser Trend weist in eine Zukunft, in der CISOs mehr auf die Belange des Business achten und sich auf Geschäftsrisiken konzentrieren müssen. In einigen großen Unternehmen komme der CISO bereits nicht mehr aus der IT-Abteilung.
