Die zunehmende Automatisierung der administrativen Prozesse wird hier in den nächsten Jahren sicherlich für eine gewisse Entlastung sorgen. CISOs sollten aber auch ehrlich sein. Es wird nicht möglich sein, alle Risiken auf Null zu reduzieren. Dafür werden auch weiterhin zu wenig Ressourcen zur Verfügung stehen. Ziel muss es vielmehr sein, die vorhandenen Risiken so weit zu reduzieren, dass die wenigen verbleibenden Risiken für die eigenen Sicherheitsteams beherrschbar werden.
2. Alles dokumentieren – auch zur eigenen Sicherheit
Als CISO ist es Ihre Aufgabe, dem Top-Management die Risikosituation zu präsentieren. Auf Basis Ihrer Präsentation entscheidet es dann, ob es sich lohnt, Ressourcen in die Minimierung eines Risikos zu investieren – oder nicht. Die Entscheidung, ob und wie viele Ressourcen bereitgestellt werden, treffen die Business-Entscheider, nicht die Sicherheits-Entscheider eines Unternehmens. Schreiben Sie also alles auf. Dokumentieren Sie alles – für die Sicherheit Ihres Unternehmens, aber auch für Ihre eigene Sicherheit. Achten Sie darauf, dass jede Risikobeurteilung, jede Empfehlung, jede Entscheidung schriftlich festgehalten wird.
3. Sprechen Sie mehr Business
Wie bereits erwähnt, können CISOs nur fachliche Ratschläge und Empfehlungen geben. Das letzte Wort haben immer andere Führungskräfte, Abteilungsleiter, Vorstandsmitglieder oder die Geschäftsführung. Eine effektive Kommunikation und Zusammenarbeit mit allen Stakeholdern im Unternehmen ist daher unerlässlich, um die Sicherheitsarchitektur effizient und effektiv optimieren zu können. Dazu müssen Sie die Sprache, die Denkweise der verschiedenen Abteilungen, des Vorstandes und der Geschäftsführung erlernen und letztendlich auch beherrschen. Und der dort immer noch weit verbreiteten Vorstellung entgegenwirken, dass Sicherheit nur als Kostenfaktor verstanden werden kann und darf. Dies zu ändern, erfordert Überzeugungsarbeit und ein tiefes Verständnis für die ‚Sprache‘ des Gegenübers, dessen Denken in der Regel eher dem Geschäft als der Sicherheit verpflichtet ist.
