News und Gedanken zur Informationssicherheit
19.04.2020
Eine Woche nach Ostern in Zeiten von Corona ist es eine gute Gelegenheit darüber nachzudenken wie und warum Risikomanagement nicht nur medizinisch sinnvoll ist.
Mehr Wert erzeugen und trotzdem der erfolgreichste Business-Enabler sein? Funktioniert mit der richtigen Herangehensweise
Was macht einen CISO so wertvoll für Strategie und GRC?
Rainer Rehm
Woher kommt der CISO?
Oftmals ist der CISO aus einer sehr technischen Rolle heraus entstanden, die ebenso oft auch in der IT oder verwandten Gebieten organisatorisch verortet war.
Die Aufgaben waren daher auch eher technisch und im IT Betrieb beheimatet:
· Netzwerksicherheit (Firewalls, Proxies, VPN Gateways,…)
· Anwendungs - Cluster in Hochverfügbarkeitsverbünden
· Schwachstellenmanagement in Anwendungen und Betriebssystemen
· Zugriffs- und Identitätsmanagement
Diese eher technische Sicht der Dinge hat auch dazu geführt, dass viele Geschäftsbereiche (GB) nicht „mit“ sondern „gegen“ die IT aufgestellt waren. Verantwortungen wurden von Geschäftsbereichen abgegeben – oder teilweise genommen - und im Rahmen von Enterprise Architecture Programmen im Sinne der IT optimiert und die Kosten den Bereichen per Umlageverfahren auferlegt.
Was macht der CISO?
Diese Frage stellt sich nicht nur der CISO selbst in vielen Betrieben, sondern natürlich auch die Bereiche und die verantwortlichen Geschäftsführungen (GF).
Aktuell sind die Aufgabenbereiche wesentlich erweitert und umfangreicher geworden. Zum einen dadurch, dass die Geschäftsbereiche(GB) im Rahmen der sogenannte Schatten-IT wieder mehr Verantwortung übernommen haben und auch weil die GF dem Widerstand der GB ernst genommen und Alternativen verfügbar waren. Software defined anything (SDx), DevOps, Virtualisierung ( inkl. Containerization) in Zusammenhang mit einer zunehmenden Infrastruktur und Serviceerbringung in der Cloud waren nur einige der Veränderungen.
Weitere Änderungen kamen durch IoT, Industrie 4.0 oder OT sowie Machine Learning (ML) und Künstliche Intelligenz (KI/AI) in die Betriebe und Organisationen.
Dem dadurch extrem verbreiterten Aufgaben- und Verantwortungsbereich und der intensiveren Zusammenarbeit mit den GBen - den mehrwerterzeugenden Einheiten- geht zwangsläufig eine Veränderung der Rolle des CISOs einher, der nun weit mehr strategisch und an den GB Zielen orientiert eine diesen Umständen angemessene IT und OT zu gewährleisten hat, die den geänderten Angriffs- und Zerstörungsvektoren standhält, da die Abhängigkeiten (die sogenannten Interdependenzen) der einzelnen Services auf den tatsächlichen Betrieb erheblich komplexer und verschachtelter geworden sind.
Fehler sind herbei schnell in Euro und Cents darstellbar.
Diese undankbare Position -oftmals leider nicht zu recht als Opferlamm- oder Sündenbock-Position bezeichnet- zwischen „wieso brauchen wir dich, es ist ja bisher (noch) nichts passiert“ bis zu „wieso brauchen wir dich, es hat ja (doch) nichts geholfen“ ist keine einfache, sondern erfordert einen CISO, der eine klare Vision und Strategie vorgibt und daraus abgeleitete Rahmenbedingungen für seine verantwortete Organisationseinheit definieren kann.
Die Bestellung einer weiteren Einzellösung (das nächste Sicherheitsprodukt für eine Spezialsituation erweitert den bereits existierenden Zoo an Produkten nur und macht den Betrieb noch komplexer) kann nicht die Lösung sein.
Zudem ist Sicherheit immer nur ein gefühlter Zustand in einem bestimmten Moment.
Dazu kommen in einigen Bereichen noch externe Vorgaben von Seiten der Gesetzgeber (GDPR, EU NIS, IT-SIG, KRITIS, ..) sowie von den Regulierungs- und Kartellbehörden für bestimmte Industrien (EBA Richtlinien, BAFIN, BASEL_III, BAIT/VAIT, VDA/TISAX, VDEW, ..).
Dies alles in Details zu kennen ist unmöglich und auch für den besten CISO nicht darstellbar.
Hier muss der CISO lernen eine tragbare Balance -sowohl für das Business als auch für ihn/sie selbst- zu finden, damit die vielen unterschiedlichen und ganzheitlichen Aufgaben nicht außer Acht gelassen und vergessen werden.
Wohin geht der CISO?
Die wichtigste Erkenntnis ist sicherlich, dass es immer nur um das vertretbare Risiko und die Maßnahmen dorthin geht.
In diesem Umfeld ist es die wichtigste Aufgabe eines CISO eine Risikoanalyse mit den „Kronjuwelen“ oder „golden Nuggets“ zu erstellen und zusammen mit den GB zu bestimmen was genau wie wichtig ist, danach im Rahmen einer sogenannte Business Continuity Planung und Management (BCM) Priorisierungen zusammen mit den GB zu bestimmen was wie geschützt und betrieben werden soll/muss. Deswegen ist es die Aufgabe des CISO den GBen risikobasierte Lösungen darzulegen anstelle das vielzitierte NO in „inNOvation“ zu sein.
Aus einer Organisation mit starker Perimetersicherung eine ZeroTrust Einheit zu formen geht erfahrungsgemäß nur zusammen mit den betreibenden Organisationen.
Die Hauptidee bei einem Risiko muss immer sein, wer den Nutzen hat, der hat auch das Risiko. Demzufolge muss auch der Risikoeigner sich um die Bewertung und Verringerung des Risikos verantwortlich (das ist das A (Accountable = ultimativ verantwortlich) in einer RACI – Matrix) kümmern.
Der CISO hat hier die Verantwortung -und nur diese!- diesen Risikobewertungsprozess zu steuern und zu koordinieren und mit Expertise und Kompetenz die Planungs- und Umsetzungsprojekte oder – programme zu begleiten.
Dazu gehört zwangsläufig auch die Prüfung der Effektivität der getroffenen Maßnahmen einzuplanen und diese einzelnen Berichte zu einem Gesamtbericht für die GF zusammenzufassen und vorzulegen.
Idealerweise gibt es hierzu bereits etablierte generische Frameworks wie ISO27001, NIST 800-53 oder industriespezifische wie TISAX oder PCI-DSS.
Der hier gezeigte CISO entwickelt sich von einem technischen Experten hin zu einer strategischen und ganzheitlich an den obersten Unternehmenszielen orientierten Führungskraft, die zurecht in der obersten Führungsebene angesiedelt ist, da hier die strategischen Ziele und die Zukunft des Unternehmens entwickelt wird.
In diesem Gremium muss der CISO, mit dem Überblick was dem Unternehmen wichtig ist und der den Risikoappetit jedes einzelnen GB genau kennt, entscheidende Richtungsentscheidungen mitbestimmen und durchsetzen.
Denn was mit Unternehmen passiert, wenn Sicherheit erst im Nachhinein entdeckt und hinzugebaut wird haben die letzten 10 Jahre gezeigt.
Dies zu erreichen ist die Aufgabe von modernen strategisch und ganzheitlich denkenden CISOs.
Zudem erfordert die Rolle des CISO wie bei jeder Führungsposition die Priorisierung und kraftvolle Delegation von Aufgaben und den Fokus auf die strategischen Securityziele zu legen.
Dazu ist es erforderlich, dass
· ein CISO maßgeblich an der Erstellung der Strategie und der Veränderungen innerhalb der Organisation beteiligt ist.
· er die einzelnen Themen abgrenzt und die daraus abgeleiteten Aufgaben delegiert
· sich der CISO stark in allen Geschäftsbereichen einbringt und mit allen zusammenarbeitet