Die bisherige Aufgabe des CISOs war in den meisten Fällen sehr stark fokussiert auf die Einhaltung der Compliance und der nicht so stringenten Entwicklung einer Institutions-weiten Informationssicherheitsstrategie und deren Umsetzung. Durch die ständigen Nachrichten hinsichtlich erfolgreicher Angriffe auf kleine, mittlere und große Institutionen, wird immer häufiger aufgezeigt, dass der bisherige Weg von einer Fokussierung auf die Einhaltung von Compliance-Anforderungen und obligatorischen Schutzmaßnahmen, hin zu einer Risiko-orientierten Fokussierung, bei der die Informationssicherheit neue Digitalisierungsinitiativen ermöglicht, anstatt zu verhindern der einzige gangbare und logische Schritt ist. Die größte Herausforderung die es dabei zu bewältigen geht, ist die Art und Weise, wie organisationsübergreifend gedacht und zusammengearbeitet wird.
Eine einfache jedoch immer wieder bewährte Erfolgsformel ist Management Unterstützung + Mitarbeitende & gelebte Kultur + Konzepte & Prozesse + Technologien + integrative Umsetzung.
Eine zentrale Rolle in der Institution fällt dabei in die Verantwortung des CISOs. Denn diese Rolle wird neben dem CIO, CDO und CSO immer wichtiger. Ein CISO kann allerdings nur dann seiner gestiegenen Verantwortung gerecht werden,
- wenn der CISO von der Geschäftsführung befähigt wird und mit der Autonomie einer Stabsstelle ausgestattet
- Wenn der CISO von der Geschäftsführung befähigt wird eine proaktive Risiko-orientierte Informationssicherheitsstrategie teamübergreifend und Institutions-übergreifend zu gestalten
- wenn der CISO entsprechende Führungsqualitäten und -fähigkeiten besitzt und nicht den Anspruch hat, sich tief technisch in jedem Detail auszukennen
- wenn der CISO es schafft, eine Kultur in der Institution zu etablieren, die eine kontinuierliche Verbesserung (KVP) anstrebt
- wenn der CISO eine vertrauensvolle Zusammenarbeit mit den CIO, CDO, CSO, und COO etabliert, bei der alle das gleiche Ziel verfolgen und an einem Strang ziehen
- wenn der CISO bei allen neuen Digitalisierungsinitiativen und Projekten von Beginn an mit eingebunden ist.
Meine bisherige Arbeit zeigt mir allerdings, dass dieses Verständnis der veränderten Rolle oft noch nicht gegeben ist und es eher ein interner Kampf gegen Windmühlen ist. Um zu verstehen, warum sich die Rolle zu einem „Dirigent“ wandelt, hilft es, sich gemeinsam mit dem CISO die veränderten Themenfelder und Aufgabengebiete mal genauer anzusehen und zu hinterfragen.
Kontinuierliches Risiko Assessment
- Identifizieren der wirklich kritischen Prozesse und Assets einer Institution.
- Offenlegen von Cyberrisiken und kontinuierliches bewerten der bekannten Risiken anhand des in der Institution verabschiedeten Risiko-Appetits, der bereits umgesetzten Informationssicherheitsmaßnahmen und der strategischen Ausrichtung der Institution.
- Etablierung einer Risiko-Betrachtung im Kontext von strategischen Digitalisierungsinitiativen.
- Berücksichtigung der Risikobetrachtung Supply-Chain, um die Vertrauenswürdigkeit der eingesetzten Produkte zu verifizieren.
Frameworks
- An welchem Framework für Informationssicherheit (bspw. NIST, CIS) orientiert sich die Institution?
- Welche Sicherheitsstandards (bspw. ISO 27001, BSI IT-Grundschutz) gilt es zu erfüllen?
- Welche gesetzlichen Anforderungen (bspw. SIG 2.0, GDPR) sind durch die Institution zu beachten?
Governance
- Ist die Institution in der Lage die Sicherheitsarchitektur und entsprechenden Präventionsfähigkeiten im Kontext der Businessanforderungen kontinuierlich zu verbessern?
- Ist die Institution in der Lage die Effektivität kontinuierlich zu verbessern?
- Ist die Institution in der Lage die Effizienz kontinuierlich zu verbessern?
- Ist die Institution bereit die notwendige Transparenz gegenüber der Geschäftsführung zu schaffen?
- Ist die Institution in der Lage die Cyberrisiken umfänglich aufzuzeigen und den Risiko-Appetits auf dieser Grundlage mit der Geschäftsführung abzustimmen?
- Ist die Institution in der Lage die Bedrohungserkennung und -abwehr kontinuierlich zu verbessern?
- Ist die Institution in der Lage die Mitarbeitenden in die Erkennung und Abwehr von Cyberrisiken durch bspw. kontinuierliche Sensibilisierung mit einzubeziehen?
Threat Intelligence
Ist die Institution in der Lage kontinuierlich und proaktiv Bedrohungen institutionsweit und bei Bedarf organisationsübergreifend zu erkennen und abzuwehren?
Ist die Institution gerüstet Zero-Day Attacken zu erkennen und entsprechend zu begegnen?
Architektur
- Was sind die Anforderungen aus den Digitalisierungsprojekten und -initiativen und wo können etablierte Sicherheitskonzepte und obligatorische Absicherungsmaßnahmen an ihre Grenzen stoßen und bieten somit keinen ausreichenden Schutz mehr?
- Wie können neue Sicherheitskonzepte und Architekturen wie Zero Trust und Secure Access Service Edge (SASE) innerhalb der Institution eingeführt werden und welche Fähigkeiten gilt es für eine erfolgreiche Einführung zu etablieren?
- Wie sieht ein Design der logischen und physischen Architektur unter Berücksichtigung der strategischen Ausrichtung (Cloud-First, Hybrid-Cloud, On-Premise) der Institution aus?
Security Operations Center
Was sind die KPI (Key Performance Indicators) und KRI (Key Risk Indicators) der Institution?
Wie schnell werden neue Bedrohungen und Angriffe durch die etablierten Infrastrukturen und Lösungen identifiziert?
Wie schnell konnten wird auf eine Bedrohung oder Attacke reagieren und dieser begegnet?
Wissensentwicklung bzw. Wissensweitergabe
- Welches Wissen gilt es in welcher Zeit, in der Institution aufzubauen (z.B. SASE, Zero Trust, ATT&CK-Techniken für die Bedrohungssuche und -erkennung)?
- Wie können neue Rollen erfolgreich in der Institution etabliert werden (bspw. SOC-Manager, Security Analysten und Security Architekten)?