CISO muss CEO überzeugen: 10 Ratschläge, beim Chef Gehör zu finden Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


18.02.2010 Nicolas Zeitler*

CISO muss CEO überzeugen: 10 Ratschläge, beim Chef Gehör zu finden

IT-Sicherheitschefs müssen sich am CEO orientieren. CISOs (Chief Information Security Officer) sollten seine Arbeitsweise kennen, seine Strategie nachvollziehen und ihm das Thema Sicherheit verständlich präsentieren.

Firmen- und Kundendaten werden in neue IT-Umgebungen übertragen, Informationen mit Geschäftspartnern geteilt, Ex-Mitarbeiter gelten als potenzielle Datendiebe: Den CISO (Chief Information Security Officer) rückt dieses Szenario in eine Schlüsselstellung, meinen die Sicherheitsexperten von RSA. Nur in Abstimmung mit dem CEO könne der Sicherheitschef seiner Rolle gerecht werden.

Wie CISO und CEO ein harmonisches Miteinander gelingt, hat der zu EMC gehörende Sicherheitsanbieter mit elf Fachleuten diskutiert. Unter ihnen waren der CISO von eBay und der Sicherheitsverantwortliche von Time Warner. Herausgekommen ist unter dem Titel "Bridging the CISO-CEO Divide" ein Leitfaden mit zehn Tipps für den IT-Sicherheitschef.

1. Sich die Schlüsselrolle verdienen Der CISO muss zeigen, dass er die Sprache des Business spricht. Außerdem sollte er sich gut in der Firmenstruktur auskennen, da das Bemühen um Datensicherheit nicht zentralisiert nur in seiner Abteilung stattfindet. Berichtet er an die Vorstandsebene, sollte er strukturierte Präsentationen halten können.

2. Die Kollegen des CEOs beeindrucken Wer vom CEO ernst genommen werden will, muss die Führungskräfte für sich gewinnen, die Einfluss auf ihn haben. Punkten kann bei den Vorstandskollegen, wer umfassende Sicherheits- und Bedrohungsszenarien darstellen kann.

3. Dem Thema Sicherheit Gehör verschaffen Der CISO sollte die Ziele des CEO kennen. Will der Kosten sparen, muss auch jede Abteilung entsprechende Projekte starten. Der Sicherheitschef sollte zeigen, was er dazu beisteuern kann: ein besseres Identitäts-Management beispielsweise erleichtert Entlassungen und Einstellungen, ein guter Schutz von Kundendaten sichert deren Vertrauen.

4. Geldwerte Vorteile zeigen Will er ernst genommen werden, muss der CISO auch zeigen, wie sich sein Handeln in barer Münze auszahlt. Erreichen kann er das beispielsweise durch ein gutes Anbieter-Management: Er sollte Outsourcing-Anbieter mit hohen Sicherheits-Standards auswählen, die gleichzeitig günstige Dienste erbringen.

5. Medien-Hypes entgegen steuern Weil Vorstände ihr Wissen über IT-Sicherheit oft vor allem aus der Zeitung beziehen, setzen sie aus CISO-Sicht oft falsche Prioritäten. Vorbeugen kann der Sicherheitsverantwortliche, indem er bei Meldungen über Laptop-Diebstahl oder Cyber-Terrorismus sofort eine eigene Gefahren-Einschätzung schreibt und dem CEO mailt - am besten, bevor der ihn auf das Thema anspricht.

6. Risiken greifbar machen So konkret wie möglich sollte der CISO den CEO über mögliche Risiken informieren. Anschaulich werden die Schilderungen durch genaue Zahlen: Wie wahrscheinlich ist ein bestimmter Sicherheitsvorfall, welcher finanzielle Verlust droht?

7. Geeignete Maßstäbe ansetzen Gedanken sollte sich der CISO auch darüber machen, anhand welcher Maßzahlen er sein Handeln misst. Daraus muss klar werden, wie das Risiko bestimmter Vorfälle steigt, wenn der Chef ein Sicherheitsprojekt einfriert. Nützlich sind auch Vergleichszahlen anderer, ähnlich aufgestellter Firmen.

8. Klare Strukturen schaffen Damit die Sicherheitsabteilung funktioniert, darf sie selbst keine organisatorischen Schwächen haben. Ob sie zentral oder dezentral aufgestellt ist, sich funktional oder an der Linienorganisation orientiert, muss im ganzen Unternehmen und natürlich auch bei der eigenen Mannschaft klar sein.

9. Einen Fahrplan aufstellen Klare Ziele und Meilensteine helfen der Sicherheitsabteilung bei der Arbeit. Fortschritte sollte der CISO dokumentieren und dem CEO darüber berichten. Sinnvoll ist es, den Technik-Kollegen eine andere Fassung des Strategiepapiers vorzulegen als den in IT-Belangen weniger kundigen Vorstandsmitgliedern.

10. Den CEO persönlich kennen lernen Damit keine Reibereien entstehen, sollte der CISO sich am Arbeitsstil des CEO orientieren. Er sollte wissen, wie detailliert Berichte an ihn sein müssen, wie er Entscheidungen fällt und worauf er besonders achtet.

Wer als CISO diese Ratschläge beherzigt, hat RSA zufolge gute Chancen, den CEO von der eigenen Sicherheitsstrategie zu überzeugen. Allerdings müsse der Sicherheitschef seinen Geschäftsführer am richtigen Punkt abholen: Wie sehr CEOs sich mit dem Thema Datensicherheit auskennen, sei sehr unterschiedlich.

* Der Autor ist Redakteur des deutschen CIO.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr

Hosted by:    Security Monitoring by: