Was ist ein virtueller CISO (vCISO)?
Speziell für Unternehmen im regulierten Sektor wie etwa Banken, Versicherungen oder jene aus dem Gesundheitssektor, stellt sich die mitunter schwierige Herausforderung ihre Programme für Informationssicherheit und Cybersicherheit auf dem neuesten Stand zu halten.
Das passende Personal zur Bewältigung dieser Herausforderungen zu finden, ist vielleicht die größte Herausforderung, insbesondere in der Position des CISO.
Je nach Unternehmensgröße, kann die Vollzeitbeschäftigung eines festangestellten CISO den Budgetrahmen in bestimmten Konstellationen sprengen.
Am Beispiel von Geschäfts- oder Genossenschaftsbanken zeigt sich häufig, dass nur etwa 50 Stunden im Monat für die Kernaufgaben eines CISO aufgewendet werden müssen.
Die Übertragung mehrerer Verantwortungsbereiche auf einige wenige hochqualifizierte festangestellte MitarbeiterInnen, hat allerdings deutliche Folgen.
Das Tragen zu vieler Hüte bedeutet, dass die designierten „ISO“ oder POs einfach nicht die Zeit oder das Fachwissen haben, um der Informationssicherheit die Aufmerksamkeit zu schenken, die sie unbedingt benötigt.
Um das Problem eines unabhängigen und qualifizierten CISOs zu lösen, wenden sich Organisationen an mich als externen Sicherheitsbeauftragten
Diese Konstellation wird inzwischen oft als virtueller CISO (vCISO) bezeichnet.
Der vCISO ist Berater und Fachlicher Ansprech-/Sparringspartner/Coach von CISOs, CTOs, Projekt- oder Programmleitern sowie Vermittler zwischen Dienstleistern, technischen Abteilungen und dem Senior Management des Auftraggebers in zentraler fachlicher Schnittstellenfunktion.
Berater, und virtuell bedeutet, dass es sich nicht um einen herkömmlichen internen Mitarbeiter handelt.
Ein virtueller CISO ist nicht automatisch für jede Organisation die passende Wahl, jedoch engagieren gerade Unternehmen aus dem Finanz- und Versicherungswesen eine(n) vCISO bzw. vTISO als erschwingliche Möglichkeit zur Stärkung und Verbesserung ihrer Informationssicherheitsprogramme.
Wer sollte vCISO-Dienste in Betracht ziehen?
- Ihr bisheriger CISO/ISO hat das Unternehmen verlassen oder sich anderen Aufgaben zugewandt.
- Sie haben einen neu ernannten CISO/ISO und möchten sie/ihn dabei durch einen Coach/Sparringspartner dabei unterstützen in die neue Aufgabe hinein zu wachsen.
- Ihre derzeitige ISOs haben nicht die Zeit oder das Fachwissen, um die sich ständig ändernden Anforderungen der Position zu erfüllen.
- Ihr Management sucht einen fachlich wie menschlich hochkompetenten Berater für Informations- und Cybersicherheit.
Was ist ein vTISO und wer sollte dessen Dienste in Betracht ziehen?
- Mit meinem tiefgehendem technischem Hintergrund, unterstütze ich Sie auch sehr gerne in der Rolle als vTISO (Technical Information Security Officer) oder als strategischer Ansprechpartner für die Einführung IT Security relevanter Infrastrukturen als externer Enterprise Security Architect.
- Sie benötigen zusätzliches Fachwissen, z.B. im Bereich Security Architektur, um Lücken in Ihrem Informationssicherheitsprogramm zu schließen.
Was tun, wenn Sie eine so wichtige Aufgabe doch nicht auslagern wollen?
Sie müssen die Steuerung und Strategie Ihres Informationssicherheitsprogramms oder die kontinuierliche Verbesserung Ihrer IT-Security-Architektur keinesfalls endgültig auslagern.
Die Aufgabe des vCISO bzw. vTISO ist es eine unvoreingenommene Außensicht, ein Coaching, einen fachlichen Austausch als Sparringspartner auf der richtigen Ebene für Ihr Unternehmen liefern.
Eine inzwischen vielfach bewährte und pragmatische Lösung, ist die Einrichtung eines internen Informationssicherheitskomitees.
Das Informationssicherheitskomitee hat die Aufgabe, der Geschäftsleitung Ihrer Organisation Empfehlungen zu allen unternommenen und geplanten Informationssicherheitsmaßnahmen zu geben. Das Komitee koordiniert und kommuniziert auch die Richtung, den aktuellen Stand und die Aufsicht über das Informationssicherheitsprogramm.
- Führung– dies ist die Rolle des leitenden Informationssicherheitsbeauftragten, also in der Regel des CISO, der/die sich sowohl um das tägliche Management des Sicherheitsteams als auch um die kontinuierliche Kommunikation der Bedeutung und des Wertes von Sicherheitsmaßnahmen kümmert
- Analyse/Architektur –diese Sicherheitsanalytiker helfen den Informationseigentümern bei der Entwicklung sinnvoller Sicherheitsrichtlinien und wirksamer Sicherheitslösungen.
- Identity & Access Management– diese Mitarbeiter kümmern sich um die tägliche Verwaltung von Zugriffsrechten, Passwörtern usw.
- Security Operations– Ressourcen, die den Sicherheitsstatus der Organisation kontinuierlich überwachen und Verfahren zur Reaktion auf Vorfälle verwalten.
- Awareness & Kommunikation– Ressourcen, die fortlaufende Programme zur Sensibilisierung für die Sicherheit und zur Schulung entwickeln und verwalten.
- Aufsicht und Kontrolle durch die Geschäftsleitung– vertreten durch einen Ausschuss für Informationssicherheit.
Als Ihr vCISO /vTISO würde ich die notwendigen Informationen aufbereiten, um diesem Komitee die nötige Unterstützung zu geben. Das Komitee wiederum berichtet an den Lenkungsausschuss, bestehend i.d.R. aus CEO, CIO und CFO der für die unternehmerische Steuerung und die endgültigen Entscheidungsfindungen zuständig ist.
Was sind die Optionen eines vCISO/vTISO Engagements?
- Full vCISO/vTISO– Ausgelagerte Aufgaben und Pflichten in Vollzeit (in der Regel eine Interimsposition).
- Ergänzender CISO/TISO –Fachwissen als Ressource für den internen CISO, Enterprise Architekten oder das Informationssicherheitskomitee.
- CISO Coaching– Entwicklung und Training eines neuen CISO.
- Individuelle Vereinbarung– Individuell vereinbarter Umfang, um spezielle Lücken und/oder andere Anforderungen interimistisch zu erfüllen.
Was sagen die Prüfer der Aufsichtsbehörden?
Obwohl es sicher ideal wäre, wenn jede Organisation einen eigenen Vollzeit-CISO hätte, wissen wir alle, dass dies eben nicht immer möglich ist.
Die Prüfer z.B. der BaFIN, verstehen durchaus die Herausforderungen mit denen z.B. Banken bei der Besetzung dieser Rolle konfrontiert sind. Sie wissen auch, dass Organisationen aus dem regulierten Sektor inzwischen auch außerhalb der großen Unternehmensberatungen nach qualifizierter Hilfe suchen müssen.
Nicht zuletzt sind geeignete Personen, die sowohl fachlich als und vor allem auch von der Persönlichkeit her eine solche Position erfolgreich ausfüllen können, rar gesät und daher äußerst begehrt.
Was erwarten die Aufsichtsorgane von Organisationen, die eine der vCISO-Optionen in Betracht ziehen?
- Durchführung einer Risikobewertung
- Einbindung und Unterstützung der Geschäftsleitung
- Verantwortung und die Entscheidungsfindung bleibt intern (erwägen Sie einen Komittee für Informationssicherheit – siehe oben)
- Anbieter werden mit der gebotenen Sorgfalt ausgewählt (Auslagerungsmanagement)
- Juristisch sauber ausgearbeitete Verträge – nutzen Sie diese, um Ihr Risiko weiter zu mindern
- Sie sollten in der Lage sein, die Überlegungen und mögliche Kompromisse zu erklären, die Sie bei der Entscheidungsfindung zu berücksichtigen hatten
Wie vermeiden Sie eine zu langfristige Bindung an mich als vCISO?
Mein Angebot an Sie baut auf Wissensvermittlung, politisch unbelasteter Außensicht und Austausch mit Ihren festangestellten Mitarbeitern. Es ist grundsätzlich so strukturiert, dass Ihre Mitarbeiter und somit Ihr Unternehmen immer selbständiger und so weniger abhängig von mir als vCISO oder vTISO werden kann.
So durfte ich in den vergangenen Jahren mehrere Nachwuchskräfte auf Ihrem Weg als ISOs und CISOs begleiten, indem ich mich schrittweise jedoch fein abgestimmt zurück gezogen habe, bis sie selbst in der Lage waren ihre Mitarbeiter zu coachen.