Metriken für CISOs, Teil 3

Das Ziel für CISOs lautet Business Continuity

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

CISOs sollen ihre Rolle neu definieren und Business Continuity Management betreiben.
CISOs sollen ihre Rolle neu definieren und Business Continuity Management betreiben. (Bild: gemeinfrei / Pixabay)

Unternehmensentscheider fürchten am meisten Betriebsunterbrechungen, ob durch klassische Ursachen oder durch Cyberattacken verursacht. CISOs sollten deshalb der Business Continuity noch mehr Priorität einräumen und ihre Kennzahlen und Berichte darauf anpassen. Dies hilft nicht nur bei der Budgetfreigabe, sondern auch beim Datenschutz nach Datenschutz-Grundverordnung (DSGVO).

CIOs werden zunehmend an ihrer Fähigkeit gemessen, für Geschwindigkeit und Agilität im Unternehmen zu sorgen, und CISOs an ihrer Fähigkeit, erfolgreiche Cybersicherheitsangriffe zu verhindern, berichtete kürzlich Palo Alto Networks und forderte einen engeren Austausch zwischen CIO und CISO, damit es zu keinen Spannungen im Unternehmen oder zu Verwirrung durch die unterschiedlichen Zielsetzungen kommt.

Tatsächlich sind die Prioritäten der CISOs nicht immer mit den Prioritäten der CIOs oder der Geschäftsleitung insgesamt abgestimmt, obwohl CISOs alles tun, um das Unternehmen in Sachen Vertraulichkeit, Integrität und Verfügbarkeit für Daten und Systeme zu schützen.

Welche Kennzahlen CISOs wirklich helfen

Metriken für CISOs, Teil 2

Welche Kennzahlen CISOs wirklich helfen

04.10.19 - Die Security muss in alle Abläufe integriert werden, so lautet eine bekannte Forderung. Trotzdem werden Business-Prozesse oftmals mit anderen Kennzahlen ausgewertet als Security-Prozesse. Das muss sich ändern, denn integrierte Kennzahlen helfen den CISOs genauso wie dem ganzen Unternehmen. Wir nennen Beispiele für passende Security-Kennzahlen. lesen

So berichtete Fortinet von den Ergebnissen der Studie von Forbes Insights mit dem Titel „Making Tough Choices: How CISOs Manage Escalating Threats and Limited Resources”. Demnach gab mehr als ein Drittel der Befragten an, dass der Schutz der Unternehmensmarke für sie an erster Stelle steht. Doch 36 Prozent ist der Schutz von Kundendaten am wichtigsten. Die Mehrzahl der Befragten konzentriert sich auf den Schutz des geistigen Eigentums ihres Unternehmens. Dieses ist ihrer Meinung nach ein Hauptziel der Angreifer.

Nun hängen bekanntlich der Schutz von Kundendaten und der Schutz der Unternehmensmarke zusammen. Trotzdem wird der Schutz der Daten in den Zielen der CISOs stärker betont, auch der Datenschutz-Grundverordnung (DSGVO) geschuldet, das versteht sich. Doch hängt die Unternehmensmarke nicht nur davon ab, dass die Kundendaten gut geschützt sind. Der Kunde erwartet auch Leistung, also eine Lieferung der Produkte und Dienstleistungen. Entsprechend schadet eine Betriebsunterbrechung der Unternehmensmarke. Business Continuity muss also stärker in den Fokus der CISOs, nicht nur in der praktischen Arbeit, dort geschieht dies bereits, sondern auch in der Kommunikation mit der Geschäftsleitung.

Warum CISOs andere Kennzahlen benötigen

Metriken für CISOs, Teil 1

Warum CISOs andere Kennzahlen benötigen

06.09.19 - Security-Metriken sind bei CISOs beliebt und gehasst zugleich. Zum einen erhöhen sie die Transparenz in der Security, zum anderen will die Geschäftsleitung den CISO daran messen. Wichtig ist es, die richtigen Metriken zu nutzen, auch für die Automatisierung in der Security. In einer Mini-Serie nennen wir Kennzahlen, die in keiner Security-Abteilung fehlen sollten. lesen

Business Continuity auch für Datenschutz wichtig

Natürlich bedeutet es keine Abkehr von der Priorität „Datenschutz“, wenn auch die Business Continuity stärker in den Fokus der Berichte und Reportings tritt, ganz im Gegenteil. Die Datenschutz-Grundverordnung (DSGVO) hat einen weiten Blick auf den Datenschutz und fordert in Artikel 32 (Sicherheit der Verarbeitung) unter anderem

  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen und
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Business Continuity gehört also zum Datenschutz dazu. Nicht nur aus diesem Grund kümmern sich CISOs schon lange um Business Continuity, doch sie reden zu wenig darüber, was zum Beispiel für die Freigabe des nächsten Security-Budgets besser wäre.

Warum CISOs das Security-Marketing verändern müssen

Der CISO und der Stellenwert der Security

Warum CISOs das Security-Marketing verändern müssen

12.07.19 - Gute IT-Sicherheit ist ein Wettbewerbsvorteil, eigentlich ein tolles Argument für mehr Security-Budget. Doch wenn Sicherheit zu sehr als Marketing-Faktor gesehen wird, schadet dies der Security. CISOs müssen Einfluss auf das Marketing nehmen, keine leichte Aufgabe, aber zwingend erforderlich. Die Security braucht einen neuen Stellenwert, um nicht unter die Räder der Werbung zu gelangen. lesen

Weitere Rolle für CISOs gefordert

Gegenwärtig wird die Verbindung aus CISO und Business Continuity Manager aktiv diskutiert. CISOs müssen ihre Rolle neu definieren und Business Continuity Management betreiben, sagt zum Beispiel KuppingerCole Principal Analyst Martin Kuppinger: „Die Widerstandsfähigkeit gegen Cyberattacken erfordert weit mehr als nur protektive und defensive Sicherheitstools und Schulungen. Bei Cyber-Resilienz geht es darum, sich schnell erholen zu können und sollte daher BCM-Aktivitäten (Business Continuity Management) umfassen. Es ist an der Zeit, die Rolle der CISOs neu zu definieren“.

Kuppingers Rat insbesondere für CISOs und CIOs: „Erkennen, reagieren, sich erholen und verbessern. Wie kann ein Unternehmen auf einen Angriff reagieren und gleichzeitig für die Zukunft planen? Indem vorbeugende Maßnahmen und BCM nicht voneinander getrennt werden. Eine Fusion aus kreativer Expertise wird einen Angriff mildern und die Wiederherstellung der Geschäftsabläufe optimieren. Erweitern Sie den Umfang dessen, was Sie tun. Es ist mehr als nur traditionelle Cybersicherheit. Business Continuity ist Teil des Ganzen. Mehr noch: BCM ist zentral für die Cybersicherheit.“

Eine KPI für Security

Security-Management

Eine KPI für Security

29.08.16 - Der Sicherheitsbeauftragte muss dem Vorstand regelmäßig Berichte über den aktuellen Sicherheitsstatus und notwendige Maßnahmen erstellen. Mit modernen Kennzahlensystemen, die klare KPIs (Key Performance-Indikatoren) ermitteln, klappt das das schnell, fundiert, umfassend und verständlich. lesen

Beispiele für Kennzahlen zur Business Continuity

Auch wer als CISO die Rolle des Business Continuity Managers schon seit langem übernommen hat, sollte dies aber nicht nur in den Aufgaben und Prozessen tun, sondern auch in den Berichten und Kennzahlen. Entsprechend sollten CISOs auch Kennzahlen für Business Continuity definieren, mit Leben füllen und dem Management zur Verfügung stellen.

Beispiele für solche Kennzahlen sind:

  • die Zahl der Notfallübungen im zurückliegenden Berichtszeitraum
  • die Zahl der IT-Störungen mit Folgen für die Produktivität im zurückliegenden Berichtszeitraum
  • Recovery Time Objectives (RTOs) für geschäftskritische Systeme (Ziel für Zeitspanne von Ausfall bis zur vollständigen Wiederherstellung)
  • Recovery Point Objectives (RPOs) für geschäftskritische Systeme (maximal zulässige Zeitspanne zwischen zwei Backups)
  • tatsächliche Frequenz der Backups für geschäftskritische Systeme
  • Differenz zwischen der geforderten und der tatsächlichen Wiederanlaufzeit bei geschäftskritischen Systemen
  • Zeitspanne bis zur Freigabe von Ausweichsysteme
  • Zeitspanne zum Start der Ausweichsysteme
  • Zeitspanne bis IT-Team für Ausweichsysteme bereitsteht

Wer solche Kennzahlen bereits in den eigenen Berichten vorgesehen hat, sollte noch prüfen, ob auch der Bezug zur vom Management gefürchteten Betriebsunterbrechung deutlich genug wird. Es schadet nicht, aktiv von Business Continuity Kennzahlen zu sprechen und zu schreiben. Dadurch wird sofort sichtbar, was Security und damit die CISOs alles für das Unternehmen leisten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46225027 / Mitarbeiter-Management)