Keine Angst – ich rufe hier nicht zur Gewalt auf.
Ich möchte mich mit der Frage beschäftigen, wie ein CISO in einem Unternehmen positioniert werden sollte.
Grund dafür ist die Erfahrung aus einem Projekt, das ich leider nicht gewinnen konnte.
Ich scheiterte letztlich daran, dass der „IT-Leiter“ den CISO „führen“ wollte.
Hier passten unsere Vorstellungen nicht zusammen.
Warum – das möchte ich kurz darstellen.
Im Kapitel 5 – „Führung“ der Norm wird sehr klar von der „obersten Leitung“ gesprochen.
Das kann per Definition eigentlich nur die Spitze der Hierarchie, also z.B. die Geschäftsführung sein.
Machen wir einmal ein Gedankenexperiment und positionieren wird den CISO in bestimmten Teilen des Unternehmens.
- Im HR – weil gerade der Aspekt der Personalsicherheit eine große Rolle spielt
- In Finance – weil wir dort sicher gut die Werte des Unternehmens verwalten können
- Beim Werkschutz – weil dort die Physische und umgebungsbezogene Sicherheit lokalisiert sein kann
- Oder eben in der IT – weil dort die ganze IT-Sicherheit und Betriebssicherheit gesteuert wird
Keine dieser Varianten halte ich für sinnvoll, weil ein CISO alle Bereiche eines Unternehmens abdecken muss.
Ein gängiger Grund für die Schaffung einer CISO Stelle ist ein erfolgreicher Angriff auf ein Unternehmen.
Ergo brauchen wir einen CISO für die IT-Sicherheit?
Passt nur leider nicht, weil die Aufgaben eines CISO viel weiter gehen als nur bis zur IT.
Ich kümmere mich um „Informationen“ und das ist auch
- der geschriebene Brief,
- ein Telefax,
- ein Ordner im Regal oder
- sogar das gesprochene Wort, wenn man es vollständig ernst nimmt.
Damit ist jede Einschränkung des CISO in einer „Linie“ kontraproduktiv.
Besonders gefährlich wird es, wenn der IT-Leiter als „Führungskraft“ des CISO sicherstellen möchte, dass dieser sich gefälligst um die IT-Sicherheit kümmert.
Sorry – dafür gibt es andere Berufsbilder, die das leisten.
Ich finde tatsächlich sogar, dass der CISO gar nicht in der üblichen Hierarchie eines Unternehmens platziert sein soll.
Der CISO ist so etwas wie ein Coach der „obersten Leitung“.
Er schützt das Unternehmen immer ganzheitlich und ist dabei lediglich diesem gegenüber verpflichtet.
In „meinen“ Organigrammen hängt der CISO also „seitlich“ an der Geschäftsführung.
Das soll auch einen zweiten Aspekt ausdrücken, der mir bei meiner Arbeit sehr wichtig ist.
Der CISO hat keine Personalverantwortung oder Führungsaufgaben – mit Ausnahme vielleicht eines CISO-Teams.
Ich mache Empfehlungen, die ich in Richtlinien oder Arbeitsanweisungen dokumentiere.
Das geschieht immer in sehr nahem Kontakt mit allen Rollen und Positionen, die davon betroffen sind.
Umso mehr ich als Berater und Coach tätig bin, umso weniger besteht die Gefahr, dass ich als „Gott der Informationssicherheit“ dem Unternehmen meinen individuellen Stempel aufdrücke.
Ein CISO sollte immer im Team die Lösungen erarbeiten, die auf das Unternehmen passen.
Deshalb halte ich auch überhaupt nichts von diesen „Word-Vorlagen“ im Sinne von „kauf‘ dir deine ISO einfach“.
Ich als CISO möchte immer frei und unabhängig beraten können – aus dem Blickwinkel meiner Rolle und der Informationssicherheit.
Ich will nicht „geführt“ werden im Sinne von „jemand sagt mir, wie ich meine Arbeit zu tun habe“.
Schon grundsätzlich kann ich immer nur indirekt etwas durchsetzen und das eben durch Argumente und Überzeugung.
Am Ende bin ich dem Unternehmen gegenüber – also der Geschäftsführung – verantwortlich.
Deshalb muss auch der IT-Leiter keine Angst vor dem CISO haben, was vielleicht erklärt, weshalb er ihn unter seine Fittiche nehmen möchte.
Der CISO hat in seiner Rolle keine Macht – er kann immer nur über seine Kunden im Unternehmen wirken.
Und ja – manchmal muss er in dieser Rolle auch Dinge in die Wege leiten, für die manche ihn gerne am nächsten Baum aufhängen würden.
Dann ist es vorteilhaft, wenn man den Rückhalt der „obersten Leitung“ hat.