Firmen- und Kundendaten werden in neue IT-Umgebungen übertragen, Informationen mit Geschäftspartnern geteilt, Ex-Mitarbeiter gelten als potenzielle Datendiebe: Den CISO (Chief Information Security Officer) rückt dieses Szenario in eine Schlüsselstellung, meinen die Sicherheitsexperten von RSA. Nur in Abstimmung mit dem CEO könne der Sicherheitschef seiner Rolle gerecht werden.
Wie CISO und CEO ein harmonisches Miteinander gelingt, hat der zu EMC gehörende Sicherheitsanbieter mit elf Fachleuten diskutiert. Unter ihnen waren der CISO von eBay und der Sicherheitsverantwortliche von Time Warner. Herausgekommen ist unter dem Titel "Bridging the CISO-CEO Divide" ein Leitfaden mit zehn Tipps für den IT-Sicherheitschef.
1. Sich die Schlüsselrolle verdienen
Der CISO muss zeigen, dass er die Sprache des Business spricht. Außerdem sollte er sich gut in der Firmenstruktur auskennen, da das Bemühen um Datensicherheit nicht zentralisiert nur in seiner Abteilung stattfindet. Berichtet er an die Vorstandsebene, sollte er strukturierte Präsentationen halten können.
2. Die Kollegen des CEOs beeindrucken
Wer vom CEO ernst genommen werden will, muss die Führungskräfte für sich gewinnen, die Einfluss auf ihn haben. Punkten kann bei den Vorstandskollegen, wer umfassende Sicherheits- und Bedrohungsszenarien darstellen kann.
3. Dem Thema Sicherheit Gehör verschaffen
Der CISO sollte die Ziele des CEO kennen. Will der Kosten sparen, muss auch jede Abteilung entsprechende Projekte starten. Der Sicherheitschef sollte zeigen, was er dazu beisteuern kann: ein besseres Identitäts-Management beispielsweise erleichtert Entlassungen und Einstellungen, ein guter Schutz von Kundendaten sichert deren Vertrauen.
4. Geldwerte Vorteile zeigen
Will er ernst genommen werden, muss der CISO auch zeigen, wie sich sein Handeln in barer Münze auszahlt. Erreichen kann er das beispielsweise durch ein gutes Anbieter-Management: Er sollte Outsourcing-Anbieter mit hohen Sicherheits-Standards auswählen, die gleichzeitig günstige Dienste erbringen.
5. Medien-Hypes entgegen steuern
Weil Vorstände ihr Wissen über IT-Sicherheit oft vor allem aus der Zeitung beziehen, setzen sie aus CISO-Sicht oft falsche Prioritäten. Vorbeugen kann der Sicherheitsverantwortliche, indem er bei Meldungen über Laptop-Diebstahl oder Cyber-Terrorismus sofort eine eigene Gefahren-Einschätzung schreibt und dem CEO mailt - am besten, bevor der ihn auf das Thema anspricht.
6. Risiken greifbar machen
So konkret wie möglich sollte der CISO den CEO über mögliche Risiken informieren. Anschaulich werden die Schilderungen durch genaue Zahlen: Wie wahrscheinlich ist ein bestimmter Sicherheitsvorfall, welcher finanzielle Verlust droht?
7. Geeignete Maßstäbe ansetzen
Gedanken sollte sich der CISO auch darüber machen, anhand welcher Maßzahlen er sein Handeln misst. Daraus muss klar werden, wie das Risiko bestimmter Vorfälle steigt, wenn der Chef ein Sicherheitsprojekt einfriert. Nützlich sind auch Vergleichszahlen anderer, ähnlich aufgestellter Firmen.
8. Klare Strukturen schaffen
Damit die Sicherheitsabteilung funktioniert, darf sie selbst keine organisatorischen Schwächen haben. Ob sie zentral oder dezentral aufgestellt ist, sich funktional oder an der Linienorganisation orientiert, muss im ganzen Unternehmen und natürlich auch bei der eigenen Mannschaft klar sein.
9. Einen Fahrplan aufstellen
Klare Ziele und Meilensteine helfen der Sicherheitsabteilung bei der Arbeit. Fortschritte sollte der CISO dokumentieren und dem CEO darüber berichten. Sinnvoll ist es, den Technik-Kollegen eine andere Fassung des Strategiepapiers vorzulegen als den in IT-Belangen weniger kundigen Vorstandsmitgliedern.
10. Den CEO persönlich kennen lernen
Damit keine Reibereien entstehen, sollte der CISO sich am Arbeitsstil des CEO orientieren. Er sollte wissen, wie detailliert Berichte an ihn sein müssen, wie er Entscheidungen fällt und worauf er besonders achtet.
Wer als CISO diese Ratschläge beherzigt, hat RSA zufolge gute Chancen, den CEO von der eigenen Sicherheitsstrategie zu überzeugen. Allerdings müsse der Sicherheitschef seinen Geschäftsführer am richtigen Punkt abholen: Wie sehr CEOs sich mit dem Thema Datensicherheit auskennen, sei sehr unterschiedlich.