:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Chief Information Risk Officer | CIRO Was ist ein Chief Information Risk Officer?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Der Chief Information Risk Officer hat die Führungsrolle im Management möglicher Risiken der Informationssicherheit. Er berichtet direkt dem Chief Risk Officer (CRO) und betrachtet die Informationssicherheit aus der Risikoperspektive. Ziel der Arbeit des CIRO ist es, Risiken für die Informationssicherheit und deren Auswirkungen auf den geschäftlichen Erfolg eines Unternehmens zu minimieren.
CIRO ist das Akronym für Chief Information Risk Officer. Der Chief Information Risk Officer hat eine leitende Position in einem Unternehmen und übernimmt die Führungsrolle im Management möglicher Risiken der Informationssicherheit. Er berichtet direkt dem Chief Risk Officer (CRO), der die Verantwortung für das unternehmensweite Risikomanagement hat.
Im Gegensatz zu einem CISO (Chief Information Security Officer) betrachtet der CIRO die Informationssicherheit nicht vornehmlich aus technischer Sicht, sondern aus der Risikoperspektive. Er erfasst mögliche Risiken für die Informationssicherheit und ihre potenziell schädlichen Auswirkungen auf den geschäftlichen Erfolg eines Unternehmens. Um die Business-Ziele des Unternehmens bestmöglich zu unterstützen, versucht er diese Risiken zu minimieren. Hierfür ist es erforderlich, dass der Chief Information Risk Officer sämtliche Aspekte möglicher Bedrohungsszenarien betrachtet und diese in eine dem Management des Unternehmens verständliche Darstellung (Sprache) überführt. Er benötigt nicht nur ein detailliertes technisches Verständnis für Sicherheitsbedrohungen, sondern muss mögliche Auswirkungen auf die komplette Wertschöpfungskette eines Unternehmens erkennen.
Die Aufgaben eines Chief Information Risk Officers
Ein Chief Information Risk Officer identifiziert, managt und minimiert mögliche Risiken der Informationssicherheit. Es werden die technologischen, wirtschaftlichen und reputationsbezogenen Auswirkungen betrachtet. Unter anderem hat ein CIRO folgende Aufgaben zu bewältigen:
- Erfassen der für die Informationssicherheit relevanten internen und externen Informationsflüsse
- Identifizieren möglicher Risiken der Informationssicherheit und ihrer Folgen für das Unternehmen
- Identifizieren möglicher Verletzungsrisiken der gesetzlichen Vorgaben und Compliance-Richtlinien
- Einteilung der Risiken in verschiedene Risikolevel
- Durchführung von Risikoanalysen und Ableitung von Maßnahmen
- Überführung der Risiken und Bedrohungsszenarien in eine dem Management des Unternehmens verständliche Darstellung
- Reporting an den Chief Risk Officer
- Entwicklung von Strategien zur Minimierung der Risiken
- Umsetzung und Überwachung von Risikominimierungsmaßnahmen
- kontinuierliche Beobachtung der Risikolandschaft
- risikobasierte Unterstützung der Entscheidungsprozesse
Abgrenzung zum Chief Information Security Officer (CISO)
CISO steht für Chief Information Security Officer und bezeichnet die Rolle eines Gesamtverantwortlichen für Informationssicherheit in einem Unternehmen. In der Regel berichtet er direkt dem Chief Executive Officer (CEO). Im Gegensatz zum CIRO, der die Informationssicherheit aus der Risikoperspektive betrachtet, hat der CISO eine mehr technische Sicht der Dinge. Arbeitsgrundlagen für einen CISO sind zum Beispiel der IT-Grundschutz oder die Normenreihe ISO/IEC 27000. Der CISO etabliert Sicherheitstechnologien und -maßnahmen. Die Rolle und die Aufgaben eines CIRO sind etwas weiter gefasst. Er betrachtet die Informationssicherheit aus der Risikoperspektive und managt, reportet und minimiert mögliche Risiken und ihrer Auswirkungen auf die Geschäftsprozesse eines Unternehmens. Er kennt die komplette Wertschöpfungskette des Unternehmens und arbeitet mit anderen nicht technischen Bereichen wie Finanzabteilungen, Strategiebereichen und operativen Abteilungen zusammen. Der CISO sorgt für den Abgleich der Anforderungen an die Informationssicherheit mit den Geschäftszielen des Unternehmens.
(ID:48528317)
:quality(80)/p7i.vogel.de/wcms/74/51/7451eb8419656e8b7159810e6c76d4ca/0105791284.jpeg "Der CISO muss in der Lage sein, mit dem C-Level bzw. Vorstand zusammenzuarbeiten, Geschäftsanforderungen zu verstehen sowie neue Initiativen zu ermöglichen. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/74/91746747ae09462d3089d3599737b3a1/0105163156.jpeg "Obwohl der Security Officer und auch der Information Security Officer im Bereich der Sicherheit angesiedelt sind, unterscheiden sich ihre Aufgaben. (Bild: Ulia Koltyrina - stock.adobe.com)")