Der CISO als Idealbesetzung für das Risikomanagement

synaix Newsletter Ausgabe 06/2009 vom 03.06.2009

Der strategische Aspekt der IT-Sicherheit wird immer wichtiger, um Bedrohungen wirksam zu begegnen. Mit zunehmender Unternehmensgröße steigt auch die Notwendigkeit, einen unabhängigen Verantwortlichen für Sicherheitsfragen zu benennen, den CISO (Chief Information Security Officer). Gerade in dezentral organisierten Unternehmen kann der CISO als zentrale Position am besten Risiken benennen, bewerten sowie die notwendigen Geschäftsentscheidungen beeinflussen.

Im Rahmen des Risikomanagements erkennen die Firmen Bedrohungen, Schwachstellen und Risiken. Im systematischen Prozess werden Risiken identifiziert und analysiert und so weit wie möglich kalkuliert. Die aus dieser Bewertung entstehende Risikoakzeptanz führt zur Priorisierung von Sicherheitsmaßnahmen für das Unternehmen. Die Sicherheitmaßnahmen wiederum erfordern Investitionen, die das Risikomanagement rechtfertigen muss. Zugleich erhöht es aber auch das Sicherheitsbewusstsein im Unternehmen – nicht zuletzt beim Management.

In letzter Instanz muss das Risikomanagement dabei immer an den übergeordneten Geschäftszielen ausgerichtet sein und zeitnah auf Veränderungen im geschäftlichen oder technologischen Umfeld reagieren. Damit wird klar, dass der Sicherheitsverantwortliche nicht nur technisches Know-how, sondern auch ausgeprägte Manager-Eigenschaften mitbringen muss. Schließlich müssen IT-Risiken an höchste Entscheidungsgremien in den Unternehmen kommuniziert werden. Daher empfiehlt sich die Stellung eines zentralen Sicherheitsansprechpartners wie des CISO, der sich weniger um das Tagesgeschäft der IT kümmert und dafür zunehmend in langfristige Geschäftsentscheidungen involviert ist.