Warum der CISO der Zukunft ein gutes Risikoverständnis braucht
„Wenn eine Organisation nicht bereit ist, Risiken einzugehen, gibt es genügend andere, die sich trauen. Wer nichts riskiert, den lässt die Konkurrenz über kurz oder lang im Kielwasser zurück“, so Lee Barney, Head of Information Security bei Marks and Spencer.
Risikomanagement gewinnt für die CISOs (Chief Information Security Officers) von heute immer mehr an Bedeutung. Wir haben Lee Barney, Head of Information Security bei Marks and Spencer, im Anschluss an seinen Vortrag über die CISOs der neuen Generation nach seinem Erfolgsrezept gefragt.
In diesem Interview spricht er offen über Risikomanagement und seine Vorstellung von der Zukunft für CISOs, die in der digitalisierten Geschäftswelt zwischen Sicherheit und Flexibilität abwägen müssen.
Was hat sich hinsichtlich der Sicherheit für Unternehmen am meisten geändert?
Alles verändert sich so schnell – das ist die größte Herausforderung. Viele Menschen wollen die Veränderung aufhalten, statt sie zu begrüßen, aber sie lässt sich nicht bremsen. Trotzdem stecken sie lieber den Kopf in den Sand und tun gar nichts, statt erst einmal zu verstehen, worum es denn überhaupt geht. Sie haben große Angst vor den Risiken, dabei ist es viel gefährlicher, nicht zu handeln.
Inwiefern? Nun ja, wenn eine Organisation nicht bereit ist, Risiken einzugehen, gibt es genügend andere, die sich trauen. Wer nichts riskiert, den lässt die Konkurrenz über kurz oder lang im Kielwasser zurück. Vielleicht kommt sogar ein kleineres Unternehmen daher, dem das Risiko nicht bewusst oder schlichtweg egal ist oder dem eine vorherige Absicherung zu lange dauert. Die Gründe sind unwichtig, denn wenn dieses andere Unternehmen Ihnen die Kundschaft wegnimmt, haben Sie schon verloren. Ich will damit sagen, dass keiner dieser Standpunkte richtig oder falsch ist. Wir sollten die Risiken weder ignorieren noch fürchten, sondern uns ihnen stellen und sie in unsere Pläne einbeziehen.
Was ist in der heutigen Zeit die größte Chance für CISOs?
Die größte Chance für CISOs ist gleichzeitig die größte Herausforderung: die Cloud. Die Cloud ist kostengünstig, skalierbar und schnell – aber nur, wenn wir sie mit anderen teilen.
Zweifellos sind die größten Cloudanbieter in der Lage, selbst Vorkehrungen zur Datensicherheit zu treffen, aber viele CISOs sind besorgt wegen der ungewissen Konsequenzen. Solche Risiken gehören heutzutage jedoch einfach dazu und sie sollten sich dadurch nicht davon abhalten lassen, in Cloudtechnologie zu investieren.
Welche Rolle spielt ein CISO bei IT-Kaufentscheidungen?
Ein CISO hat die Aufgabe, Informationen einzuholen und die Fakten darzustellen. Das Unternehmen muss sich der Risiken bewusst sein und die Inhaber der Dateien müssen zustimmen. Unser ganzes Leben steckt voller Risiken. Die Frage ist, ob wir uns die Zeit nehmen, mögliche Negativfolgen zu verstehen und diesen auf vernünftige Weise vorzubeugen. Wenn ein bestimmtes Produkt für das Unternehmen von Nutzen sein wird, sollten ihm nicht aufgrund von Sicherheitsbedenken Steine in den Weg gelegt werden. Eine objektive Gefahreneinschätzung ist wichtig. Ein CISO muss das Risiko und seine möglichen Auswirkungen so erläutern, dass die Kollegen es akzeptieren können. Das ist nicht immer einfach, aber auch längst nicht mehr so schwierig wie früher!
Meiner Erfahrung nach treten diese Gefahren selten ein. Ich will nicht behaupten, dass nie etwas passiert, aber es ist doch wirklich eher die Ausnahme. Es ist natürlich sinnvoll, für einen solchen Ernstfall einen Notfallplan zu haben. Noch wichtiger ist es allerdings, von Anfang an die Fakten zu präsentieren und die Entscheider zu überzeugen.
Welchen Rat würden Sie CISOs geben?
Viele CISOs sträuben sich gegen die Veränderung, weil sie sich Gefahren einbilden, die gar nicht existieren. Oft haben sie irgendwo etwas aufgeschnappt und wenn sie es mehrmals hören, suchen sie das Problem überall. Im Bereich der Internetsicherheit kommt das im Moment oft vor. Ich weiß nicht, wohin das noch führen wird.
Ich rate CISOs, einen kühlen Kopf zu bewahren. Denken Sie klar darüber nach, welche Risiken für Ihr Unternehmen relevant sind. Wie wahrscheinlich ist es, dass diese Gefahren tatsächlich eintreten? Die Aufgabe eines CISO besteht darin, die Fakten zu präsentieren.
Dabei müssen Sie immer berücksichtigen, was für Ihre Organisation am wichtigsten ist. Die Prioritäten sind im Einzelhandel zum Beispiel anders gelagert als in einer Behörde . Sie können Ihr Unternehmen nur schützen, wenn Sie wissen, wer oder was ihm schaden könnte. Nur wenn Ihnen bekannt ist, wer eventuell aus welchem Grund in Ihr System eindringen will, können Sie eine Technologie für Ihr Unternehmen zutreffend als mögliche Gefahrenquelle oder als Chance einstufen. Im Einzelhandel wiegen die Vorteile der Cloud die Risiken deutlich auf.