Der virtuelle CISO – Security on Demand
Beim ISO oder CISO laufen die Fäden der Informationssicherheit zusammen. Ohne ihn bleibt die Verteidigung Stückwerk. Die gute Nachricht: Man kann sich einen erfahrenen CISO leihen und umgehend von seinem Know-how profitieren.
Von bis zu 553.000 neuen Varianten Schadsoftware an nur einem Tag berichtete das BSI im Lagebericht 2021. Allein 2021 gab es elf Sicherheitswarnungen der Alarmstufe Rot – mit „Log4J“ verabschiedete sich das Security-Jahr mit einem regelrechten Knall. Da kann sich glücklich schätzen, wer einen erfahrenen ISO (Information Security Officer) oder einen CISO (Chief ISO) in den eigenen Reihen hat. Doch gerade KMUs tun sich schwer, Security-Expert:innen an Bord zu holen, zumal deren Gehaltsvorstellungen mit der Zahl der Angriffe zuletzt deutlich in die Höhe geschnellt sind.
Was ist das Ziel eines ISO oder CISO?
Ziel eines CISO ist, einen ganzheitlichen Schutz für das Unternehmen aufzubauen. Hinlänglich bekannt ist, dass isolierte Maßnahmen kein optimales Informationssicherheits-System bilden können, weil Lücken (jenseits von Zero Day Exploits) zwischen den Systemen entstehen, für die sich niemand zuständig fühlt. Und Security ist beileibe nicht allein eine Frage der Technik – auch wenn Informationssicherheit für gewöhnlich mit IT-Sicherheit gleichgesetzt wird. IT-Sicherheit ist nur ein Teil der Informationssicherheit, dazu kommen unter anderem noch organisatorische Maßnahmen oder die physische Sicherheit für Mensch und Infrastruktur.
Aussitzen ist keine Strategie
Entscheidend ist, dass sich Unternehmen den Schwachstellen in der eigenen Informationssicherheit stellen und diese beheben wollen. Egal, ob groß oder klein, ob Bauwesen oder Beratung – alle benötigen Security-Know-how und ein professionelles Sicherheitsmanagement, das über die Konfiguration der Firewalls hinausgeht. Die Vorteile eines CISO sind der Schutz von Informationen, die Planung und Steuerung von Investitionen, Wettbewerbsvorteile gegenüber der Konkurrenz, Effizienz durch Fokussierung und sogar die Verbesserung der Unternehmenskultur. Und jemand muss die Vorgaben für den Security-Admin ausarbeiten: Welche Informationen brauchen welche Verschlüsselungsalgorithmen, und wie lange sind diese gültig?
Was leistet ein ISO oder CISO?
Der ISO kümmert sich nicht um Operational Security, sein Aufgabenbereich ist die Governance: ISOs bestimmen den Reifegrad der Informationssicherheit, sorgen für eine gezielte Verbesserung und planen ein sicheres Informationsumfeld. Sie unterstützen bei der Einführung oder Weiterentwicklung des Information Security Management Systems (ISMS), sichern Lieferketten ab durch Compliance-Prüfungen und beraten das Management in Security-Fragen. Sie analysieren Risiken auf ihre Eintrittswahrscheinlichkeit und die potenziellen Auswirkungen auf das Unternehmen. Mit einem angemessenen Kosten-Nutzen-Notfallkonzept stellen sie für Krisensituationen die notwendigen Prozesse und Ressourcen sicher. Nicht zuletzt sorgen sie dafür, dass die Mitarbeitenden für die Unsicherheit sensibilisiert werden – regelmäßig und effizient.
Externer CISO in Teilzeit?
Das alles funktioniert aber auch mit einem externen CISO in Teilzeit. Der von uns titulierte „virtuelle CISO“ kann vor Ort tätig sein, und das auch nur für zwei oder drei Tage pro Woche. Denn je nach Unternehmensgröße, Business-Modell oder Komplexität der Organisation ist es nicht erforderlich, eine Vollzeitstelle zu schaffen und zu besetzen. Wichtig ist jedoch, das virtuelle CISOs und das Management in den ersten Wochen eine persönliche Beziehung herstellen, um Vertrauen zu schaffen, das auch Online-Meetings überdauert. Dazu gehört auch, den Risikoappetit des Unternehmens kennenzulernen, um seine Strategie darauf abzustimmen. Und natürlich ist es entscheidend, dass ein Board-Member für Security verantwortlich ist und die Empfehlungen des externen CISO in der Organisation verankert. Sonst ist es so, als würde man den Haustürschlüssel unter der Fußmatte deponieren.
Vorteile eines externen CISO
Erfahren: Hinter einem vCISO steht meist ein ganzes Team aus erfahrenen Expert*innen in allen Bereichen des Sicherheits-Managements von Mobile Security bis Cybersicherheit und von IT- bis Informationsschutz.
Verfügbar: Der externe CISO muss nicht erst gesucht und rekrutiert werden – oder als interner Mitarbeiter ein Weiterbildungsprogramm neben der regulären Arbeit durchlaufen.
Bedarfsgerecht: Der virtuelle CISO (vCISO) kann für eine festgelegte Zahl von Wochentagen gebucht werden – individuell und flexibel.
Kompetent: Der vCISO unterstützt die Organisation im Großen wie im Kleinen – ob beim Aufbau eines ganzheitlichen Security-Managements, bei der Installation sicherer Arbeitsplätze oder beim Datenschutz.
Up-to-Date: Sicherheit wird fortwährend mit neuen Techniken konfrontiert. Zudem werden Gesetze, Vorgaben und Regularien immer komplexer. CISOs müssen daher stets auf dem neuesten Stand sein.
Konzertiert: Sind verschiedene Einheiten mit Security betraut, ist dies nur selten effektiv. Erst ein CISO steuert die Initiativen auf ein gemeinsames Ziel zu. Dadurch steigt die Informationssicherheit der Organisation auf ein höheres Niveau.
Quelle Titelbild: Adobe Stock / lexiconimages
