Suchen

Metriken für CISOs, Teil 3 Das Ziel für CISOs lautet Business Continuity

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Unternehmensentscheider fürchten am meisten Betriebsunterbrechungen, ob durch klassische Ursachen oder durch Cyberattacken verursacht. CISOs sollten deshalb der Business Continuity noch mehr Priorität einräumen und ihre Kennzahlen und Berichte darauf anpassen. Dies hilft nicht nur bei der Budgetfreigabe, sondern auch beim Datenschutz nach Datenschutz-Grundverordnung (DSGVO).

Firmen zum Thema

CISOs sollen ihre Rolle neu definieren und Business Continuity Management betreiben.
CISOs sollen ihre Rolle neu definieren und Business Continuity Management betreiben.
(Bild: gemeinfrei / Pixabay )

CIOs werden zunehmend an ihrer Fähigkeit gemessen, für Geschwindigkeit und Agilität im Unternehmen zu sorgen, und CISOs an ihrer Fähigkeit, erfolgreiche Cybersicherheitsangriffe zu verhindern, berichtete kürzlich Palo Alto Networks und forderte einen engeren Austausch zwischen CIO und CISO, damit es zu keinen Spannungen im Unternehmen oder zu Verwirrung durch die unterschiedlichen Zielsetzungen kommt.

Tatsächlich sind die Prioritäten der CISOs nicht immer mit den Prioritäten der CIOs oder der Geschäftsleitung insgesamt abgestimmt, obwohl CISOs alles tun, um das Unternehmen in Sachen Vertraulichkeit, Integrität und Verfügbarkeit für Daten und Systeme zu schützen.

So berichtete Fortinet von den Ergebnissen der Studie von Forbes Insights mit dem Titel „Making Tough Choices: How CISOs Manage Escalating Threats and Limited Resources”. Demnach gab mehr als ein Drittel der Befragten an, dass der Schutz der Unternehmensmarke für sie an erster Stelle steht. Doch 36 Prozent ist der Schutz von Kundendaten am wichtigsten. Die Mehrzahl der Befragten konzentriert sich auf den Schutz des geistigen Eigentums ihres Unternehmens. Dieses ist ihrer Meinung nach ein Hauptziel der Angreifer.

Nun hängen bekanntlich der Schutz von Kundendaten und der Schutz der Unternehmensmarke zusammen. Trotzdem wird der Schutz der Daten in den Zielen der CISOs stärker betont, auch der Datenschutz-Grundverordnung (DSGVO) geschuldet, das versteht sich. Doch hängt die Unternehmensmarke nicht nur davon ab, dass die Kundendaten gut geschützt sind. Der Kunde erwartet auch Leistung, also eine Lieferung der Produkte und Dienstleistungen. Entsprechend schadet eine Betriebsunterbrechung der Unternehmensmarke. Business Continuity muss also stärker in den Fokus der CISOs, nicht nur in der praktischen Arbeit, dort geschieht dies bereits, sondern auch in der Kommunikation mit der Geschäftsleitung.

Business Continuity auch für Datenschutz wichtig

Natürlich bedeutet es keine Abkehr von der Priorität „Datenschutz“, wenn auch die Business Continuity stärker in den Fokus der Berichte und Reportings tritt, ganz im Gegenteil. Die Datenschutz-Grundverordnung (DSGVO) hat einen weiten Blick auf den Datenschutz und fordert in Artikel 32 (Sicherheit der Verarbeitung) unter anderem

  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen und
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Business Continuity gehört also zum Datenschutz dazu. Nicht nur aus diesem Grund kümmern sich CISOs schon lange um Business Continuity, doch sie reden zu wenig darüber, was zum Beispiel für die Freigabe des nächsten Security-Budgets besser wäre.

Weitere Rolle für CISOs gefordert

Gegenwärtig wird die Verbindung aus CISO und Business Continuity Manager aktiv diskutiert. CISOs müssen ihre Rolle neu definieren und Business Continuity Management betreiben, sagt zum Beispiel KuppingerCole Principal Analyst Martin Kuppinger: „Die Widerstandsfähigkeit gegen Cyberattacken erfordert weit mehr als nur protektive und defensive Sicherheitstools und Schulungen. Bei Cyber-Resilienz geht es darum, sich schnell erholen zu können und sollte daher BCM-Aktivitäten (Business Continuity Management) umfassen. Es ist an der Zeit, die Rolle der CISOs neu zu definieren“.

Kuppingers Rat insbesondere für CISOs und CIOs: „Erkennen, reagieren, sich erholen und verbessern. Wie kann ein Unternehmen auf einen Angriff reagieren und gleichzeitig für die Zukunft planen? Indem vorbeugende Maßnahmen und BCM nicht voneinander getrennt werden. Eine Fusion aus kreativer Expertise wird einen Angriff mildern und die Wiederherstellung der Geschäftsabläufe optimieren. Erweitern Sie den Umfang dessen, was Sie tun. Es ist mehr als nur traditionelle Cybersicherheit. Business Continuity ist Teil des Ganzen. Mehr noch: BCM ist zentral für die Cybersicherheit.“

Beispiele für Kennzahlen zur Business Continuity

Auch wer als CISO die Rolle des Business Continuity Managers schon seit langem übernommen hat, sollte dies aber nicht nur in den Aufgaben und Prozessen tun, sondern auch in den Berichten und Kennzahlen. Entsprechend sollten CISOs auch Kennzahlen für Business Continuity definieren, mit Leben füllen und dem Management zur Verfügung stellen.

Beispiele für solche Kennzahlen sind:

  • die Zahl der Notfallübungen im zurückliegenden Berichtszeitraum
  • die Zahl der IT-Störungen mit Folgen für die Produktivität im zurückliegenden Berichtszeitraum
  • Recovery Time Objectives (RTOs) für geschäftskritische Systeme (Ziel für Zeitspanne von Ausfall bis zur vollständigen Wiederherstellung)
  • Recovery Point Objectives (RPOs) für geschäftskritische Systeme (maximal zulässige Zeitspanne zwischen zwei Backups)
  • tatsächliche Frequenz der Backups für geschäftskritische Systeme
  • Differenz zwischen der geforderten und der tatsächlichen Wiederanlaufzeit bei geschäftskritischen Systemen
  • Zeitspanne bis zur Freigabe von Ausweichsysteme
  • Zeitspanne zum Start der Ausweichsysteme
  • Zeitspanne bis IT-Team für Ausweichsysteme bereitsteht

Wer solche Kennzahlen bereits in den eigenen Berichten vorgesehen hat, sollte noch prüfen, ob auch der Bezug zur vom Management gefürchteten Betriebsunterbrechung deutlich genug wird. Es schadet nicht, aktiv von Business Continuity Kennzahlen zu sprechen und zu schreiben. Dadurch wird sofort sichtbar, was Security und damit die CISOs alles für das Unternehmen leisten.

(ID:46225027)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research