Management

CIOs und CISOs sollten sich enger austauschen

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

CIOs und CISOs sollten sich enger austauschen

IT und Sicherheit im Einklang

In Unternehmen gerät viel in Bewegung, wenn neue Technologien zur Schaffung von Geschäftsvorteilen eingeführt werden, denn: Oft muss ein Spagat zwischen Security und Performance gelingen. Diese Entwicklung hat ihre Wurzeln in den sich verändernden Rollen des CIO und des CISO sowie in der strategischen Natur ihrer Zusammenarbeit. Für Führungskräfte kann die Art und Weise, wie sich diese Beziehung entwickelt, möglicherweise den Unterschied ausmachen, ob ihr Unternehmen von der digitalen Transformation profitiert oder ob es ihr Opfer wird – wie Palo Alto Networks berichtet.

Niemand würde darüber diskutieren, dass sich die Rolle von CIOs und CISOs dramatisch verändert. Vor zwei Jahrzehnten begannen CIOs als Geschäftsstrategen zu gelten, noch mehr als Technologen, und dieser Trend beschleunigt sich. Und CISOs durchlaufen ebenfalls einen verspäteten, aber ebenso wirkungsvollen Übergang zur Unternehmensführung, anstatt sich nur auf neueste Cybersicherheitsprodukte zu konzentrieren.

An dieser Stelle wird es nach Meinung von Palo Alto Networks interessant: Ohne eine implizite, aufrichtige und gut geplante Abstimmung zwischen dem CIO und dem CISO riskieren Unternehmen, sich in einen Technologiekrieg zu verzetteln, der Hindernisse für den Erfolg und nicht Wege in eine bessere Zukunft schafft.

Im Kern dreht es sich dabei nach Erfahrung von Palo Alto Networks um 2 Themen:

Kinship und Dynamic Tension

Der Begriff Kinship – oder eine Gemeinsamkeit von Zielen – ist nicht neu, zumindest nicht in der Theorie. Business Schools und Fachzeitschriften sprechen seit vielen Jahren über dieses Thema als Voraussetzung für den Führungserfolg. Leider hat es sich nicht immer so abgespielt, wie es auf der Tafel steht. Der CIO konzentrierte sich darauf, wie Technologie Geschäftsmodelle positiv beeinflussen kann, und der CISO konzentrierte sich darauf, wie Sicherheit das Vertrauen unserer Kunden in eine Marke stärken kann. Alle wissen aber, dass sie am selben Ort landen müssen, auch wenn es bedeutet, dass sie flexibel sein müssen, wie sie dorthin gelangen.

Relevant ist zudem eine wichtige organisatorische Veränderung: Die steigende Nachfrage, dass Mitarbeiter in einer weitaus dezentraleren Struktur mit Geschäftseinheiten und Entwicklern zusammenarbeiten (DevOps), in der Sicherheit von Anfang an in alle digitalen Transformationsprozesse eingebettet ist (DevSecOps). Es ist eine aufregende Zeit, denn Technologie entfaltet in jeder Branche ihre disruptive Wirkung, indem sie automatisierte Werkzeuge, maschinelles Lernen und andere Innovationen zur Verfügung stellt. Diese verändern unsere Arbeit und die Art und Weise, wie Unternehmen Technologien nutzen.

Kinship ist nach Überzeugung von Palo Alto Networks ein großartiges Konzept und ein starker Drehpunkt für positive Veränderungen. In vielen Unternehmen dürfte dies der einfachere Teil sein. Im Gegensatz dazu kann die Förderung und das Verständnis, wie man von Dynamic Tension, also „dynamischen Spannungen“ profitiert, entweder auf den Vorteilen der Kinship aufbauen – oder sie zu einem wertlosen Slogan machen. Dieses Geben und Nehmen zwischen intelligenten, motivierten, innovativen und auch ego-getriebenen Führungskräften sollte kultiviert und als Kraft-Multiplikator genutzt werden. Im Mittelpunkt dieser dynamischen Spannungen steht die gegenseitige Anerkennung, dass unsere Tagesordnungen manchmal unterschiedlich sind. Wichtig ist es daher eng und ehrlich kommunizieren, um Unterschiede zu überbrücken und optimale Geschäftsergebnisse zu erzielen.

CIOs werden zunehmend an ihrer Fähigkeit gemessen, für Geschwindigkeit und Agilität im Unternehmen zu sorgen, und CISOs an ihrer Fähigkeit, erfolgreiche Cybersicherheitsangriffe zu verhindern. Wie jede Führungskraft bestätigen kann, scheinen diese Ziele manchmal gegensätzlich zu sein. Während diese Agenden zu Verwirrung über Prioritäten führen und zur Quelle von Konflikten werden können, obliegt es dem CIO und dem CISO (ohne dass der CEO ihm das Mandat erteilt), alle Fragen der Ausrichtung zu lösen. Der Schlüssel dazu liegt darin, eine agile Organisation zu schaffen, die die Cybersicherheit zum Wohle aller Beteiligten fördert.

Gut umgesetzt, kann diese dynamische Spannung ein starker Katalysator für die Prozessoptimierung sein. Wenn man jedoch mit der dynamischen Spannung nicht richtig umgehen, kann sie für den Unternehmenserfolg auch schädlich sein. Man nehme zum Beispiel die Vorstellung, an wen der CISO berichten soll. Zu diesem Thema gibt es viele Diskussionen, insbesondere um die Frage, ob der CISO zum CIO und seinem Team aufsteigen soll.

Unabhängig davon, an wen sie berichten benötigen CISOs die Unabhängigkeit von IT-Leitern, um ihre Arbeit richtig zu erledigen – und das betrifft auch die Budgets. Der CISO benötigt ein separates Budget, das vom Budget des CIOs getrennt ist. Die Unabhängigkeit hat jedoch ihren Preis, da sie von beiden Führungskräften verlangt, auf viel höheren Ebenen zusammenzuarbeiten und gemeinsame Ziele im Bereich der Sicherheit zu verfolgen. Oft beobachtet man eine Fehlausrichtung zwischen CIOs und CISOs.

Gelegentlich kommt es aber auch zu beunruhigenden Mischungen aus ungesundem Wettbewerb, die von so genannten Experten befürwortet wird, die eine falsche Vorstellung von den Vorteilen der Förderung eines kontradiktorischen Umfelds unter Führungskräften haben. Wie ein unruhiger Teenager glauben einige CISOs, dass es einen offenen Wettbewerb mit den CIOs geben sollte. Andererseits gibt es CIOs, die ahnungslos bezüglich des Themas Sicherheit sind, die nicht genügend investieren und der Sicherheit geringe Priorität einräumen.

Beide Positionen sind falsch und für Unternehmen sogar gefährlich. Die Beteiligten haben eine gemeinsame Verantwortung für die Sicherheit: Häufig liegt die Implementierung und Unterstützung von Sicherheitskontrollen in der Verantwortung von IT-Experten, während die Definition und Bereitstellung einer unabhängigen Überprüfung von Kontrollen in die Zuständigkeit von Infosecurity fällt. Wenn beide Gruppen nicht miteinander kommunizieren und nicht tief miteinander verbunden sind, ist es für ihre Teams oft unmöglich, sich zu einigen.

Klar ist: Die IT- und Infosecurity-Teams orientieren sich an den Vorgaben ihrer Führungskräfte. Wenn der CIO und der CISO nicht auf der gleichen Seite stehen, können sie keine funktionierende Beziehung zwischen ihren Teams garantieren. Das ist etwas, was CEOs und Vorstandsmitglieder sehr, sehr genau beobachten müssen.

Wie können Geschäftsführer die sich vielerorts erst entwickelnde Beziehung zwischen dem CIO und dem CISO als Gewinn und nicht als Verpflichtung nutzen?

Die richtige Teamstruktur aufbauen

So senden beispielsweise gemeinsame Scrum-Teams von IT und Infosec mit Sichtbarkeit ihrer Aktivitäten bis in die Führungsetage eine starke Kinship-Botschaft. Ihre Teams müssen sich nicht nur an den Zielen orientieren, sondern auch daran, wie der Fortschritt gemessen wird. IT- und Infosec-Teams müssen auch ein dauerhaftes Programm zur Cybersicherheitshygiene entwickeln und verwalten.

Entwickeln und Fördern der richtigen Kultur

CIOs und CISOs müssen den Denkansatzstandard für gemeinsame Problemlösungen setzen, der auf offenem Geben und Nehmen von Ideen, Vorschlägen, Tests und Implementierungen basiert. Meinungsverschiedenheiten während des Prozesses sind natürlich und oft sogar wünschenswert. Am Ende müssen sich alle Teammitglieder jedoch an eine Kultur des Engagements für die Ziele und Taktiken des Teams halten.

Palo Alto Networks fordert CIOs und CISOs auf, sich in drei Bereichen zu engagieren, um ihre Partnerschaft zum Wohle des Unternehmens zu verbessern:

  1. Gemeinsamen priorisieren und strategisieren von Optimierungsmaßnahmen für Prozesse, die sie nicht sofort ansprechen können.
  2. Verstehen, schätzen und kennenlernen der Welt des anderen
  3. Die Teams mit dem Gefühl der Dringlichkeit zu jedem Thema im Zusammenhang mit der Cybersicherheit bringen

Vor allem aber sollte nach Meinung von Palo Alto Networks jeder ein großes Ziel haben: Die Arbeit zu einer positiven Erfahrung zu machen um bessere Ergebnisse zu erzielen. Arbeit ist sicher nicht das Einzige im Leben, aber es ist sicherlich wichtig genug, dass man Wege finden muss, sie zu einem lohnenden Prozess für alle Beteiligten zu machen.