Livin IT
Livin IT

CISO (Chief Information Security Officer)

 

Ein CISO ist mit seiner Funktion im Idealfall direkt unter der Geschäftsleitung oder dem Vorstand platziert. Er verantwortet alle Aktivitäten, die nötig sind, um die „Informationssicherheit“ im Unternehmen zu gewährleisten.

Die Sicherheit von Informationen wird nach den drei Schutzprinzipien – Vertraulichkeit, Integrität und Authentizität – aufgebaut und betrieben. Alle organisatorischen und technischen Maßnahmen, die dafür erforderlich sind, werden von einem CISO initiiert, orchestriert und kontrolliert. Das beginnt bei der Umsetzung von Maßnahmen zur Einhaltung gesetzlicher Vorgaben (zB DSGVO) über den Aufbau eines ISMS (Informations Management Systems) bis zur Auswahl, Beschaffung und Betrieb von Sicherheitslösungen und Tools.

Was macht man denn so als CISO den ganzen Tag?

Cybersecurity ist ein hoch dynamisches Betätigungsfeld, Langeweile gibt es hier nicht. Die Anforderungen an die Sicherheit sind hoch, stets zu hinterfragen, und täglich kommen neue Risiken dazu. Als CISO musst Du den Überblick bewahren, über die Gefahrenlandschaft draussen, über neue Risiken, über Technologien, und ganz besonders über die Einrichtungen im eigenen Unternehmen, die Schutzbedarf haben.

Mit wem arbeitet der CISO zusammen?

Der CISO berichtet direkt an die GF bzw. den Vorstand. Er arbeitet mit den Bereichsleitungen (IT, Finance, Produktion, Vertrieb) zusammen. Besonders wichtig sind die Kontakte zum Risk-Management, seinem Security-Team, zu Behörden und zu externen Dienstleistern.

Wie wird man denn eigentlich CISO?

Es gibt keine „typische“ CISO-Laufbahn, aber es gibt Karrierewege, die eine mögliche Entwicklung begünstigen. So ist eine IT-affine Karriere (Security, Entwicklung, Organisation) vorteilhaft, denn man arbeitet sich so in das Thema direkt ein. Mit geeigneter Spezialausbildung kann man Schwerpunkte setzen (zB SAP, OT, Netzwerke). Wichtig ist, seine Interessen und Fähigkeiten breit zu halten und rechtzeitig den Fokus auf das „Business“ zu legen, denn die Fokussierung auf den Geschäftsnutzen macht einen CISO aus. Ein CISO ist eine Managerrolle, keine Spezialistenrolle.

Technisch-wirtschaftliche Ausbildung ist ein guter Einstieg, etwa Wirtschaftsinformatik, aber auch reine Wirtschaftsfächer oder auch Rechtswissenschaften sind geeignet, wenn sie mit einer technischen Ausbildung oder einer Zertifizierung abgerundet werden. Ausbildungen zum Securityspezialisten sollten demnach dann um eine wirtschaftliche- Ausbildung erweitert werden.

Welche Möglichkeiten gibt es für Quereinsteiger?

Fertige Spezialisten sind aktuell Mangelware. Eine etwa 5jährige Tätigkeit im Bereich Cybersecurity kann als ernsthafte Qualifikation dienen, wobei aber auch der Background zum Thema Business eine Rolle spielt. Wer also Securityprojekte erfolgreich geleitet hat, wer neue Maßnahmen in einem Unternehmen etabliert hat, etwa die Einführung eines ISMS oder eine Zertifizierung des Unternehmens nach ISO 27001), der kann als nächste Karrierestufe den CISO anpeilen.

 

powered by EY

Aufgaben

  • Aufbau und Betreibung von Vertraulichkeit, Integrität und Authentizität
  • Alle Massnahmen dafür initiieren, orchestrieren und kontrollieren
  • z. B. Umsetzung von Maßnahmen zur Einhaltung gesetzlicher Vorgaben
  • Aufbau eines ISMS (Informations Management Systems)
  • Auswahl, Beschaffung und Betrieb von Sicherheitslösungen und Tools