IT-Sicherheit wird zum Risiko-Management aufgewertet

Heute dagegen spiele der CISO in immer mehr Unternehmen eine von der IT-Abteilung unabhängige Rolle und berichtet direkt - oder indirekt - an den Finanz- oder Risikovorstand. Vor allem in hoch regulierten Branchen wird das ReportingReporting des CISOs als wichtiger Bestandteil der Governance angesehen. "Die Führungskräfte haben endlich erkannt, wie wichtig ein realistisches Bild der Risiken für die IT ist", sagte Paul Proctor. Den Managern sei klar, dass es hundertprozentige IT-Sicherheit nicht geben könne und dass technologische Lösungen alleine nicht ausreichen. Alles zu Reporting auf CIO.de

CISO wird zum Risiko-Manager

Langfristig werde sich die Rolle des CISO deshalb zu einem Risiko Management Officer (RSO) weiter entwickeln müssen. Er sollte auf Vorstandsebene angesiedelt sein und strategische, taktische und technische Notwendigkeiten gegeneinander abwägen können. "Die Stärke des RSO liegt darin, Fragen der IT-Sicherheit und des Risiko Managements vermitteln zu können, ohne auf technische Details einzugehen."

Die meisten Unternehmen seien über die Phase der Erkenntnis über die entscheidende Rolle des CISO bisher aber noch nicht hinaus gekommen. Sie arbeiteten gerade daran, ihre IT-Sicherheitsstrukturen entsprechend zu organisieren und neue Richtlinien zu entwickeln. Weniger als fünf Prozent hätten ihre Organisation schon neu ausgerichtet und arbeiteten bereits daran, Best Practies weiterzuentwickeln.