30 Jahre ist es her, dass der Finanzdienstleistungsriese Citigroup (ehemals Citicorp) nach einer Reihe von Cyberangriffen durch russische Hacker ein spezielles Büro für Cybersicherheit einrichtete. 1994 gilt demnach als Geburtsjahr des Berufs Chief Information Security Officers. Heute, drei Jahrzehnte nach Auftauchen des ersten CISO, hat nahezu jedes größere Unternehmen eine Fachkraft für Cybersicherheit. Cybersecurity Ventures erklärt, dass es derzeit weltweit rund 32.000 CISOs gibt. Bei schätzungsweise 334 Millionen Unternehmen fällt aber schnell auf: Viele andere Firmen und Organisationen besetzen eine solche Stelle – auch wenn sie noch so wichtig ist – bisher nicht. Sei es aufgrund der Größe, fehlender Expertise oder Budgetbeschränkungen, oder auch weil sofort einsatzbereiter CISO-Support benötigt wird: Ein Vollzeit-CISO ist für viele Unternehmen zwar wünschenswert, aber nicht immer realisier- oder finanzierbar. Manchmal werden CISO-Aufgaben auch auf mehrere IT-Mitarbeitende verteilt, was bei unzureichendem Wissen Risiken birgt. In solchen Fällen ist ein virtueller CISO oder ein ausgelagerter CISO, Stichwort CISO-as-a-Service, eine gute Alternative.
Was macht ein CISO?
Ein Chief Information Security Officer spielt eine zentrale Rolle bei der Gewährleistung von Sicherheit und Integrität der Informationsbestände eines Unternehmens, logisch. Trotzdem lohnt es sich aufgrund der Vielzahl an Aufgaben, die Haupteinsatzfelder einmal aufzuführen.
CISOs sind:
- Experten in Sachen Risk Management: Hierzu gehören die Identifizierung, Bewertung und Priorisierung von Cybersicherheitsrisiken und -Schwachstellen. Zudem geht es um die Entwicklung von Strategien zur Risikominderung und die Empfehlung geeigneter Sicherheitskontrollen und Gegenmaßnahmen.
- Hüter der Informationssicherheitsrichtlinien und -verfahren: Das beinhaltet die Entwicklung, Implementierung und Durchsetzung von Informationssicherheitsrichtlinien, -standards und -verfahren im gesamten Firmengefüge. Schließlich müssen alle wichtigen Gesetze, Vorschriften und Industriestandards eingehalten werden.
- Incident Response-Chefs: CISOs entwickeln und pflegen Pläne, wie auf Datenschutzfälle reagiert werden soll, um Sicherheitsverletzungen einzudämmen und zu entschärfen. Zudem leiten sie Incident-Response-Teams bei der Untersuchung von Sicherheitsverstößen, der Ermittlung der Ursachen und der Umsetzung von Abwehrmaßnahmen.
- Sicherheitsarchitekten: Auch der Entwurf, die Implementierung und Pflege einer robusten Sicherheitsarchitektur und -infrastruktur zum Schutz der Systeme, Netzwerke und Daten innerhalb eines Unternehmens gehören zum CISO-Aufgabenkatalog. Er oder sie bewertet Sicherheitstechnologien und wählen Tools zur Unterstützung der Sicherheitsziele aus. So ist es in einigen Fällen ratsam, ein Information Security Management System nach ISO-Norm 27001 aufzubauen.
- Security-Trainer: CISOs fördern Sicherheitsbewusstsein und Best Practices innerhalb der Belegschaft, bei Auftragnehmern und anderen Stakeholdern. Dazu gehört die Entwicklung von Cybersicherheitstrainings, um das Bewusstsein für Sicherheitsrisiken zu schärfen.
- Compliance-Kontrolleure: Sie entwickeln Rahmenrichtlinien und Mechanismen für das Security Management, um wirksame Überwachung sicherzustellen. Sie führen regelmäßige Sicherheitsbewertungen, Audits und Überprüfungen durch, um die Einhaltung interner Richtlinien und externer Vorschriften zu überprüfen.
- Third-Party-Risikomanager: CISOs bewertet die Sicherheitslage von Anbietern, Lieferanten und Drittdienstleistern, um zu gewährleisten, dass sie die Sicherheitsstandards und -anforderungen des Unternehmens erfüllen. Sie legen vertragliche Vereinbarungen und Überwachungsmechanismen fest, um Third-Party-Sicherheitsrisiken effektiv zu managen.
- Kommunikationsspezialisten: Wwichtig ist auch die rechtzeitige und transparente Kommunikation von Sicherheitsvorfällen, Bedrohungen und Schwachstellen an Geschäftsleitung, Management und Stakeholder sowie regelmäßige Berichte über die Sicherheitslage im Unternehmen.
- Trend-Checker und Wegbereiter: CISOs müssen immer über neue Bedrohungen, Trends und Technologien im Bereich der Cybersicherheit Bescheid wissen, um die Sicherheitsmaßnahmen anzupassen und zu verbessern. Außerdem sollten sie innovative Projekte vorantreiben, um künftigen Sicherheitsherausforderungen den Schrecken zu nehmen.
Klar, dass sich jedes Unternehmen einen derartigen Security-Allrounder in seinen Reihen wünscht. Da dies aus den genannten Gründen aber oft nicht möglich ist, lohnt es sich, externen Support anzufordern: CISO-as-a-Service.
Sechs Gründe für CISO-as-a-Service
CISO-as-a-Service punktet mit:
- Flexibilität: Externe CISO-Dienste sind beim Umfang und der Dauer der Dienstleistungen flexibler. Der CISO-Support lässt sich je nach Bedarf skalieren und zusätzliche Ressourcen hinzufügen oder reduzieren. Das ist besonders praktisch in Zeiten erhöhter Sicherheitsanforderungen oder bei der Durchführung spezifischer Projekte.
- Knowhow: Externe CISO-Dienste bieten Zugang zu einem Pool von erfahrenen Experten. Unternehmen können von fundierten Erfahrungen profitieren und haben Zugang zu spezialisierten Fähigkeiten, die ein interner CISO nicht besitzt.
- Kontinuität: Externe CISOs halten sich ständig über aktuelle Bedrohungen, Trends und Best Practices auf dem Laufenden. Sie können sicherstellen, dass Sicherheitsrichtlinien und entsprechende Praktiken kontinuierlich verbessert und den sich ändernden Bedrohungslandschaften angepasst werden, ohne dass interne Ressourcen abgelenkt werden müssen.
- Objektivität: Externe Mitarbeitende bieten idealerweise eine objektive und unabhängige Sicht auf die Sicherheitspraktiken eines Unternehmens. Sie sind nicht in interne politische Dynamiken verwickelt und können daher Entscheidungen auf Basis von Best Practices und objektiven Analysen treffen.
- Kosteneffizienz: Externe CISO-Dienste können kosteneffizienter sein, da Unternehmen nur für die tatsächlich erbrachten Leistungen bezahlen. Festangestellte CISOs erhalten ein festes Gehalt, Zusatzleistungen und möglicherweise Boni, unabhängig davon, ob ihre Leistung vollständig ausgeschöpft wird oder nicht.
- Ressourcenoptimierung: Mithilfe externer CISO-Dienste können Unternehmen interne Ressourcen für andere strategische Aufgaben und Geschäftsziele freisetzen.
Fazit CISO-as-a-Service
Externe CISO-Dienste sind eine kosteneffiziente, flexible und effektive Option, wachsende Informationssicherheitsanforderungen zu erfüllen. Das gilt vor allem dann, wenn keine Mittel oder Erfahrungen für einen festangestellten CISO zur Verfügung stehen. Sie eignen sich bei akutem Bedarf – das Onboarding neuer Mitarbeitender dauert länger als die Beauftragung eines externen Services – und als Interimslösung. Egal ob KMU oder Start-up: Kleinere Unternehmen und Firmen, die sich im Aufbau befinden, profitieren von der Expertise erfahrener CISO-Anbieter – und schützen ihre wertvollen Daten, Systeme und verlässlich.
Wenn Sie erfahren möchten, wie CISO-as-a-Service im Unternehmensalltag aussehen kann, lesen Sie unsere Success Story „CISO-as-a-Service für Steeltec Group“. Der Schweizer Stahlhersteller setzt auf CISO-as-a-Service der Swiss IT Security AG. Hierzu gehören beispielsweise die Erstellung einer Sicherheits-Roadmap, die Koordination verschiedener Abteilungen sowie die Konzeption einer Remote Access-Lösung der Geräte im Werk.