Mehrwert erkennen, Chancen nutzen CISOs bieten mehr als nur Sicherheit

Ein CISO kann neben seiner Tätigkeit für Informationssicherheit durch wertsteigernde Aktivitäten für zusätzlichen Nutzen sorgen: Kostensenkung, Datenoptimierung, Identifizierung von Verfahrensmängeln, Eröffnung strategischer Möglichkeiten uvm.

Anbieter zum Thema

CISOs schaffen Mehrwerte, indem sie die unter anderem sicherheitsrelevante Prozesse und die Einhaltung von Reglements rationalisieren.
CISOs schaffen Mehrwerte, indem sie die unter anderem sicherheitsrelevante Prozesse und die Einhaltung von Reglements rationalisieren.
(Bild: gearstd - stock.adobe.com)

Führungskräfte wie auch Chief Information Security Officer (CISO) stehen unter dem Druck, den Wert zu demonstrieren, den sie und ihre Teams für das jeweilige Unternehmen erbringen. Clevere Sicherheitschefs generieren dabei zusätzlich zu ihrer Aufgabe, einen sicheren Geschäftsbetrieb zu garantieren, immer ein paar Added-Values. Und vor allem, machen sie das gegenüber ihrer Geschäftsführung auch deutlich. In der Folge ein paar Beispiele, wie CISOs den Unternehmen zusätzliche Nutzen bringen können:

Unternehmensdaten besser strukturieren

Der CISO und sein Team beurteilen Daten im Rahmen von Risiko- und Sicherheitsbewertungen. Dabei lässt sich auch dokumentieren, ob die verschiedenen Daten-Elemente für einen Wettbewerbsvorteil nützlich sein können und ob sie bereits an mehreren Stellen vorhanden und verwendet werden. Daraufhin kann eine Beseitigung der Redundanzen erfolgen, die dem Unternehmen bares Geld spart und gleichzeitig das Sicherheitsrisiko einschränkt.

Mängel bei Verfahren und Richtlinien identifizieren

Im Rahmen von standardmäßigen Sicherheitsüberprüfungen finden CISOs meist Lücken in Verfahren und Protokollen. Auf diese Weise lassen sich ebenso Lücken in verwandten Bereichen entdecken und so einen zusätzlichen Nutzen für das Unternehmen stiften. Natürlich muss ein CISO dafür sein bestes diplomatisches Geschick aufbringen, um eine andere Führungskraft auf solche Probleme aufmerksam zu machen.

Überflüssige Kosten erkennen

Jedes Mal, wenn ein Server mit einer Anwendung hochgefahren wird, muss das Unternehmen jemanden dafür bezahlen. Wenn dann beispielsweise ein Lizenz-Audit ansteht, kann das für Controller ein unangenehmes Erwachen auslösen. Da CISOs bereits nach überflüssigen Technologien Ausschau halten, die gegebenenfalls ein Sicherheitsrisiko darstellen, so könnten sie gleich weitere Technologieausgaben identifizieren, die unnötige Kosten verursachen. Damit helfen CISOs Unternehmen, ihre Budgets unter Kontrolle zu halten.

Geistiges Eigentum schützen

Die Identifizierung von geistigem Eigentum, das in Unternehmen nicht angemessen geschützt wird, ist normalerweise nicht die Aufgabe eines CISOs. Jedoch auch hier kann ein CISO einen Beitrag dazu leisten, um Kontrollen für die Finanz- und Kreditkartendaten des Unternehmens zu implementieren. Denn nicht selten verfolgen selbst große Unternehmen keinen risikobasierten Ansatz zum Schutz von geistigem Eigentum.

IT-Security als Verkaufsargument liefern

Wenn ein Unternehmen von sich aus behaupten kann, dass es sich vor Hacker-Attacken gut geschützt hat, so kann dies zu einem Vertrauenszuwachs seitens der Kunden und damit zu einer Umsatzsteigerung führen. Denn Führungskräfte, die einen Lieferantenvertrag aushandeln oder auch bisweilen normale Verbraucher, die etwas aus einem Regal kaufen, möchten ein sicheres Unternehmen hinter ihren Produkten wissen.

Kunden suchen daher zunehmend nach Beweisen für diese Sicherheit. Ein CISO hat hier die Möglichkeit, auf der Ebene der Produktentwicklung bei Sicherheitsfunktionen mitzuwirken. Das ist keine traditionelle Rolle für CISOs, jedoch können sie hier einen bedeutenden Einfluss ausüben, vor allem, da Unternehmen sich digital weiterentwickeln und vieles eine digitale Komponente hat.

Beziehungsmanagement betreiben

Die Aufgabe eines CISOs umfasst nahezu das gesamte Spektrum an Führungs- und Strategiebereichen - von datenbezogenen Fragen über Rechtsfragen, Datenschutz und Governance bis hin zur Sicherheit im Allgemeinen. Da CISOs wie ihre CIO- und CFO-Kollegen für ein gesamtes Unternehmen arbeiten, haben sie somit die Möglichkeit, Beziehungen mit den Fachabteilungen im gesamten Unternehmen aufzubauen. Das macht den CISO zu einem Botschafter für Fragen zur Sicherheit. CISOs sollten sich dessen bewusst sein, um funktionsübergreifend zu vermitteln und dem Unternehmen zu einem besseren Risikomanagement zu verhelfen, indem sie verbleibende Silos aufbrechen und Netzwerke zwischen den Abteilungen aufbauen.

Geschäftspartner und Lieferketten unterstützen

Manche CISOs halten Sicherheitsseminare für Zulieferer und Händler ab, die nicht groß genug sind, um ihre eigenen Seminare zu veranstalten. Auf diese Weise kann der CISO Sicherheitswarnungen und die Einhaltung von Vorschriften aktualisieren. Ein übergreifender Austausch von Know-how und bewährter Verfahren kann die Sicherheit sogar in einer kompletten Lieferkette verbessern.

Standardisierungen finden und fördern

Für den Fall, dass sich beispielsweise eine Überzahl an verschiedenen Plattformen zur Abwicklung von ein und desselben Prozesses im Einsatz befindet - ein Szenario, das auch noch eine kostspielige Komplexität für den CISO bedeutet -, dann muss ein Rahmen gefunden werden, der die Sicherheits- und Technologieanforderungen für alle Systeme standardisiert. Sowohl das Unternehmen als Ganzes als auch der CISO selbst profitiert letztlich von einer solchen Standardisierung.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Strategien entwerfen

CISOs entwickeln sich immer mehr zu Partnern der Geschäftsleitung, die ihre Kollegen in der Führungsetage in Fragen der IT-Security beraten. Daher werden sie auch immer stärker in die strategischen Pläne des Unternehmens eingebunden. Je früher ein CISO mit den langfristigen Vorhaben des obersten Managements vertraut gemacht wird, umso früher können entsprechende Aktivitäten angestoßen und implementiert werden.

Regulatorische Kontrollen straffen

Gesetzgeber und private Einrichtungen erlassen immer mehr Sicherheits- und Datenschutzvorschriften. Daher müssen Unternehmen ihre eigenen Kontrollen einführen, um alle Vorschriften gut zu erfüllen. Da die Vorschriften jedoch meist nacheinander abgearbeitet werden, kommt es oft zu komplexen, redundanten Kontrollen und damit verbundenen Prozessen. Schwerfällige manuelle Prozesse sind häufig zeit- und kostenintensiv. CISOs können hier einen Mehrwert schaffen, indem sie die sicherheitsrelevanten Abläufe und die Einhaltung von Vorschriften rationalisieren.

(ID:48358107)