Die Rolle des Chief Information Security Officer (CISO) war noch nie so herausfordernd und entscheidend wie heute. Mit dem exponentiellen Anstieg der Cyber-Bedrohungen, die dem Ruf, dem Vertrauen und dem Vermögen der Organisationen irreparablen Schaden zufügen können, müssen CISOs auf ein immer komplexeres und dynamischeres Szenario vorbereitet sein.
Im Jahr 2024 verzeichnete Brasilien einen erheblichen Anstieg der Cyberangriffe. Im ersten Quartal gab es einen Anstieg von 38 % im Vergleich zum gleichen Zeitraum 2023, wobei brasilianische Organisationen durchschnittlich 1.770 Angriffe pro Woche erlitten. Im zweiten Quartal war der Anstieg noch deutlicher und erreichte 67 % im Vergleich zum Vorjahr, mit einem Durchschnitt von 2.754 Angriffen pro Woche pro Organisation. Im dritten Quartal erreichte die durchschnittliche Wochenzahl der Angriffe pro Organisation in Brasilien 2.766, was einem Anstieg von 95 % im Vergleich zum gleichen Zeitraum im Jahr 2023 entspricht. Die am stärksten betroffenen Sektoren waren Finanzen, Gesundheit, Regierung und Energie, wobei die Hauptangriffsarten Ransomware, Phishing, DDoS und APTs (Advanced Persistent Threats) waren.
CISOs müssen sich an diese neue Ära beispielloser Cyberangriffe anpassen – dabei müssen sie häufig mehrere Rollen gleichzeitig übernehmen und – wie im Fall Brasiliens – ein Szenario der Kostendämpfung und Investitionen in die Cybersicherheit managen.
Die Rolle des modernen CISO
Die Position des CISO ist relativ neu. Im Gegensatz zu Finanzdirektoren oder Geschäftsführern existierte die Funktion des Informationssicherheitsleiters bis Mitte der 1990er Jahre offiziell nicht.
Darüber hinaus hat sich die Rolle des CISO in den Organisationen ständig verändert. Laut dem CISO-Bericht 2023 von Splunk glaubten 90 % der Befragten, dass die Funktion sich zu einem „völlig anderen Job“ entwickelt hatte, seit sie angefangen hatten.
Während der CISO anfangs für die Erstellung von Richtlinien, Sicherheitsgovernance und die Implementierung rudimentärer Sicherheitskontrollen verantwortlich war, was dazu führte, dass dieser Fachmann eine viel technischere als managementbezogene Sicht hatte, hat sich die Aufgabenliste heute erheblich erweitert. Eine davon ist zum Beispiel die politische Funktion des Amtes: CISOs müssen enge Arbeitsbeziehungen zum CEO, CFO und der Rechtsabteilung der Organisation pflegen. Das Budget im Sicherheitsbereich ist eine wesentliche Voraussetzung, um die Vielzahl der heutigen Bedrohungen zu bewältigen.
Und das ist immer noch ein Problem für Unternehmen weltweit, insbesondere in Brasilien. Die Komplexität des Szenarios bringt einerseits ein Land mit einer der höchsten Angriffsquoten der Welt mit sich. Andererseits führen wirtschaftliche Unsicherheiten und die Schwankungen des Dollars (da die überwiegende Mehrheit der Lösungen in Fremdwährung verkauft wird) dazu, dass die CISOs mit den verfügbaren Ressourcen abwägen müssen, um den Schutz des Unternehmens zu gewährleisten.
Gute Kommunikatoren
Im Gegensatz zu einem Bild, das früher stark auf dem Techniker-Stereotyp basierte, muss der CISO heute eine Führungsrolle übernehmen und ein guter Kommunikator sein, um die Schaffung einer soliden Cybersicherheitskultur im Unternehmen voranzutreiben.
Ein weiterer wichtiger Punkt ist, dass CISOs nicht allein bei der Verwaltung der Informationssicherheit handeln können. Sie müssen auf die Unterstützung und Zusammenarbeit des externen Ökosystems zählen, das Lieferanten, Kunden, Partner, Regulierungsbehörden, Berufsverbände und Sicherheitsgemeinschaften umfasst. Diese Akteure können mit Informationen, Ressourcen, Lösungen und bewährten Praktiken dazu beitragen, den Geschäftsführer bei der Verbesserung und Stärkung der Sicherheit seiner Organisation zu unterstützen. Deshalb sind Kommunikation und Beziehung zum Markt ebenfalls entscheidend.
Sicherheit muss von einer ganzheitlichen Sicht ausgehen
Es reicht nicht aus, isolierte und reaktive Sicherheitswerkzeuge und -prozesse zu haben. Die CISOs müssen eine ganzheitliche und integrierte Sicht auf die Sicherheit haben, die von der Unternehmenskultur und dem Bewusstsein der Mitarbeitenden bis hin zur Governance und Ausrichtung an den Geschäftsziele reicht.
Sicherheit sollte als ein querschnittliches und wesentliches Element für die Kontinuität und das Wachstum der Organisation betrachtet werden, nicht als Kosten oder Barriere. Dazu müssen die CISOs die anderen Abteilungen und Führungskräfte des Unternehmens einbeziehen, den Wert und die Rendite der Sicherheit demonstrieren sowie klare und messbare Richtlinien und Kennzahlen festlegen.
Ein Gefühl der Dringlichkeit ist unerlässlich, um Bedrohungen vorherzusehen
Cyberbedrohungen entwickeln sich ständig weiter und werden immer raffinierter, und können jede Organisation betreffen, unabhängig von Größe oder Branche. Deshalb ist es wichtig, stets aufmerksam und auf dem neuesten Stand bezüglich der Trends und Schwachstellen des Marktes zu sein und in Lösungen und Methoden zu investieren, die es ermöglichen, Bedrohungen und Risiken vorauszusehen.
Eine Möglichkeit, dies zu tun, besteht darin, einen Sicherheitsansatz von Anfang an zu integrieren, der die Sicherheit von der Konzeption bis zur Lieferung der Produkte und Dienstleistungen der Organisation umfasst. Eine andere Möglichkeit besteht darin, regelmäßige Tests und Simulationen durchzuführen, die die Wirksamkeit und Resilienz der Sicherheitssysteme und -prozesse bewerten sowie Verbesserungs- und Minderungsmaßnahmen identifizieren.
Auch wenn die Rolle des CISO noch im Wandel ist, ist dieser Fachmann ein entscheidendes Element für den Schutz und die Innovation von Organisationen im digitalen Zeitalter. CISOs müssen darauf vorbereitet sein, mit einem beispiellosen Niveau an Bedrohungen umzugehen, die eine proaktive, strategische und kollaborative Informationssicherheitsverwaltung erfordern.
Schließlich sollten CISOs bedenken, dass Informationssicherheit nicht nur eine technische Frage ist, sondern auch ein Wettbewerbsfaktor und ein Wert für die Kunden. Diejenigen, die es schaffen, Sicherheit mit den Geschäftsziele und den Erwartungen der Stakeholder in Einklang zu bringen und die Vorteile sowie die Herausforderungen der Sicherheit klar und überzeugend zu kommunizieren, werden in der Lage sein, eine starke und nachhaltige Sicherheitskultur in der Organisation aufzubauen und zu ihrem Erfolg und Wachstum im digitalen Umfeld beizutragen.
