Studie
13.11.2018, 09:58 Uhr
Was einen CISO ausmacht
Die Rolle des Chief Information Security Officer (CISO) befindet sich im Wandel. Von ihm werden immer mehr Managementfähigkeiten und Kooperationsbereitschaft verlangt. Dies ist eine der Erkenntnisse einer Studie, die PAC im Auftrag von Kaspersky Lab durchgeführt hat.
Die digitale Transformation führt auch zu einer Öffnung von Volkswirtschaften, Unternehmen und Informationssystemen. Dadurch werden sie zwar agiler und vernetzter, aber auch anfälliger für Bedrohungen. Die Rolle des Chief Information Security Officer (CISO) wird daher in Unternehmen immer wichtiger. Doch was braucht es, um ein erfolgreicher IT-Security-Chef zu sein? Dieser Frage ging die weltweite Studie «What It Takes to Be a CISO: Success and Leadership in Corporate IT Security» nach, die das zur CXP Group gehörende Marktforschungsinstitut PAC für den IT-Sicherheitsspezialisten Kaspersky Lab durchgeführt hat.
CISO: Nach wie vor Techniker
Welche Fertigkeiten und Fähigkeiten benötigt daher ein CISO, um erfolgreich zu sein? Gemäss den Antworten der befragten CISO sind dies nach wie vor hauptsächlich technische Fähigkeiten im IT-Umfeld generell und in der Cyber-Security im Besonderen. Immerhin: Ein gerüttelt Mass an Business-Fähigkeiten sollten CISO nach deren eigener Meinung ebenfalls mitbringen sowie genügend Einfühlungsvermögen, um die Bedürfnisse der Geschäftseinheiten zu erkennen und gute Beziehungen zu diesen aufbauen zu können (vgl. Grafik). Nur 2 Prozent der CISO erachten dagegen Menschenführungsfähigkeiten als wichtigste Skill und niemand fand, dass das Erreichen von Kosteneffizienz zu den wichtigsten Fähigkeiten eines CISO gehöre.
Der CISO gehört in die Geschäftsleitung
Generell stellte die Studie fest, dass viele CISOs weniger in unternehmerische Entscheidungen eingebunden werden. Auch was die Position in der Firmenhierarchie anbelangt, sind die CISO noch tief angesiedelt und weit weg von der Teppichetage. «Normalerweise würde man davon ausgehen, dass ein Chief Information Security Officer Mitglied der Geschäftsleitung ist. Es sitzen jedoch nur 26 Prozent der befragten CISOs im Vorstand und nehmen an allen Sitzungen teil», erläutert Wolfgang Schwab, Principal Consultant bei PAC. In der Regel findet man CISOs auf Geschäftsleitungsebene nur in Unternehmen mit hohem Digitalisierungsgrad oder in sensiblen Sektoren, sowie in sehr grossen Firmen. Dies ist häufig gleichbedeutend mit einem hohen Reifegrad bei der Cyber-Sicherheit. Nur 58 Prozent der befragten CISOs sind der Ansicht, angemessen in unternehmerische Entscheidungen eingebunden zu sein.
Allerdings glauben nur 25 Prozent der befragten CISOs, die nicht Mitglied der Geschäftsleitung sind, dass sie dies sein sollten. Der Rest ist zufrieden mit der aktuellen Position. In Europa denken aber schon 41 Prozent der CISOs, sie sollten eigentlich Teil der Geschäftsleitung sein.
Eine weitere Erkenntnis aus der Studie ist, dass sich ein Grossteil der CISOs selbst nicht als Business-Manager sieht – was normalerweise ein wesentliches Element einer Position auf CxO-Ebene ist – sondern eher als Fachexperten.
CISOs als Ratgeber
Insbesondere CISOs, die stärker mit den Geschäftsbereichen zusammenarbeiten möchten, werden von der Geschäftsleitung häufiger um Rat gefragt als CISOs, die hier kein Interesse zeigen. CISOs, die in ihrem Unternehmen gut vernetzt sind und bereit sind, mit den verschiedenen Geschäftsbereichen zu kooperieren, werden als wertvollere Ratgeber wahrgenommen als Kollegen, die sich hier nicht engagieren. Dieser Trend weist in eine Zukunft, in der CISOs mehr auf die Belange des Business achten und sich auf Geschäftsrisiken konzentrieren müssen. In einigen grossen Unternehmen kommt der CISO bereits nicht mehr aus der IT-Abteilung.
Über die Studie
Die PAC-Studie «What It Takes to Be a CISO: Success and Leadership in Corporate IT Security» («Was einen CISO ausmacht: die erfolgreiche Steuerung der IT-Sicherheit im Unternehmen») möchte diese und andere Fragen beantworten. Sie wurde von PAC im Auftrag von Kaspersky Lab durchgeführt und analysiert weltweit den Status quo sowie die künftige Entwicklung der Rolle des CISO und seiner Organisation. Grundlage sind eine CATI-Befragung (Computer Assisted Telephone Interview) von 250 Unternehmen weltweit, die CISOs oder vergleichbare Rollen haben, sowie 11 Experten-Interviews. Diese Studie wurde erstmals im Sommer 2018 durchgeführt und soll jährlich aktualisiert werden.