Steigende Anforderungen an Unternehmen erfordern vom zukünftigen Chief Information Security Officer, kurz CISOs, sich die richtigen Fähigkeiten, Erfahrungen und Beziehungen anzueignen, um ein immer größeres Aufgabenfeld zu bewältigen und Risiken auf höchstem Niveau zu managen. Doch geeignete Anwärter für die komplexe Rolle sind bisher rar.

In Zeiten, in denen die Cyberkriminalität weiter zunimmt und Unternehmen gleichzeitig immer mehr auf ihre digitale Infrastruktur setzen, ist eine starke Führung entscheidend, um ein effektives Management von Cyberrisiken zu garantieren. Die Rolle des CISO gewinnt damit zunehmend an Bedeutung und umfasst ein immer breiteres Spektrum von Aufgaben. Die Suche und Bindung qualifizierter CISOs und deren Mitarbeiter kann jedoch eine Herausforderung sein. Internationale Unternehmen müssen die neue Rolle des CISO jetzt also mehr denn je verstehen, um Bedrohungen einen Schritt voraus zu sein und wettbewerbsfähig zu bleiben.

Die Rolle des modernen CISO

Ein typischer CISO beaufsichtigt die vier Hauptsäulen der Sicherheit: Sicherheitsarchitektur und -technik, Sicherheitsbetrieb, Cyber-Relastizität sowie die Einhaltung von Vorschriften und IT-Richtlinien. Allerdings ist nicht jede CISO-Rolle gleich. Zu den weiteren Verantwortlichkeiten können Risiko und Governance, Business Continuity, Identitäts- und Zugriffsmanagement (IAM), physische Sicherheit, Betrugsprävention, Datenschutz und mehr gehören.

Zu der Position des CISO gehört es jedoch nicht mehr, allein für Sicherheitsfunktionen verantwortlich zu sein. Die Rolle hat sich in den letzten Jahren enorm entwickelt und von modernen CISOs wird erwartet, dass sie eine größere Führungsrolle im Unternehmen einnehmen. CISOs sind wichtige Berater für den Vorstand und fördern einen proaktiven Sicherheitsansatz und Sicherheit als geschäftsförderndes Element mit einem klaren Return on Investment. Dazu gehört auch die Einbeziehung aller Interessengruppen des Unternehmens in die Sicherheitsstrategie, die Bereitstellung von Sicherheitsrichtlinien und -praktiken und die Aufklärung über deren Mehrwert. Nicht zuletzt fungiert der CISO als Mentor für das Sicherheitspersonal und trägt die Verantwortung, eine neue Generation von Security-Experten zu coachen, was insbesondere durch den Fachkräftemangel unerlässlich ist.

Wo CISOs zu finden sind

Der Mangel an Cyber-Sicherheitstalenten ist nirgends stärker spürbar als in der Führungsebene. Es ist kein Geheimnis, dass es nicht einfach ist, starke CISO-Kandidaten zu finden und zu rekrutieren. Viele CISOs bleiben oft nur für ein paar Jahre in ihrer Funktion, bisher lag jedoch zu wenig Fokus auf der Förderung eigener Nachwuchstalente, die als nächste Generation von CISOs nachrücken könnten. Die meisten Unternehmen sind daher gezwungen, sich extern nach einem Kandidaten umzusehen.

Die Besetzung der CISO-Position erfordert langfristige Planung. Da Führungsrollen in der IT-Sicherheit häufig neu besetzt werden müssen, ist es von entscheidender Bedeutung, ein gutes Netzwerk vielversprechender Kandidaten aufzubauen. Empfehlungen des aktuellen CISO können dabei helfen, einen direkten Nachfolger zu identifizieren. Dabei kommen gute CISOs aus vielen verschiedenen Branchen, man sollte die Suche daher nicht auf die eigene Branche beschränken. Dies gilt vor allem dann, wenn die Branche noch wenig ausgereifte Cybersicherheitsstandards aufweist. Ausnahmen sind dementsprechend Bank- und Gesundheitswesen, wo Unternehmen in der Regel aufgrund der erforderlichen tiefen regulatorischen Kenntnisse und Erfahrungen aus ihrer Branche einstellen müssen.

Sicherheitstalente finden und fördern

Für eine langfristig erfolgreiche Sicherheitsstrategie müssen Unternehmen jedoch selbst verstärkt für geeigneten CISO-Nachwuchs sorgen und die nächste Generation von Sicherheitsexperten fördern und binden. Ein erster Schritt kann der Aufbau von Beziehungen zu Universitäten sein, an denen eine Ausbildung im Bereich Cybersecurity angeboten wird. On-the-job gilt es, die Mitarbeiter auf eine spätere Führungsposition vorzubereiten. Ein guter Ansatz ist die Rotation der Rollen in den verschiedenen Sicherheitsgebieten, um mit mehr Funktionen vertraut zu werden und eine breitere Sicherheitsperspektive zu gewinnen. Der CISO als Mentor ist dabei maßgeblich für die Entwicklung. Neben technischen Kenntnissen müssen vor allem auch Führungsqualitäten und die nötigen Softskills der nächsten Generation der Security Leadership gefördert werden.

In der absehbaren Zukunft bleibt der Pool an geeigneten Kandidaten für die CISO-Rolle klein. Der Blick auf Sicherheitsexperten unterschiedlichster Positionen in anderen Branchen kann vielversprechende Kandidaten hervorbringen und so die aktuelle Lücke schließen. Aber nur, wer selbst zur Talentschmiede wird und Mentoring- und Coaching-Programme für angehende CISOs etabliert, kann langfristig garantieren, diese geschäftskritische Position passend zu besetzen.

 

Über den Autor:

Philippe Borloz ist Spezialist für IT- und Tech-Themen und blickt bereits auf über 30 Jahre Erfahrung Geschäfts- und Verkaufsführung zurück. Als Vice President Sales EMEA bei Kudelski Security ist er für die Expansion in der Schweiz und im gesamten EMEA-Raum zuständig, leitet die Verkaufsstrategie und pflegt die Kundenbeziehungen in der gesamten Region. Kudelski Security ist ein führender Berater und Innovator im Bereich der Cybersecurity für sicherheitsbewusstesten Unternehmen. Mehr zu diesem Thema erfahren Sie im Forschungspapier „Building the Future of Security Leadership“ von Kudelski Security.

Bildquellen