1 32 Table of Contents 34 52

NET 6-7/2025

www.net-im-web.de 33 06-07/25 Reifeprüfung für CISOs zu prüfen, wie effizient sie greifen. Deren Autorität und Kompetenz variiert jedoch erheblich. Auf einer niedrigen Reifeebene liegt die Sicherheit möglicherweise in den Händen vonMitarbeitenden, die lediglich Anweisungen entgegennehmen, während CISOs in hochentwickelten Struktu- ren eng mit dem Vorstand kooperieren und sicherstellen, dass Cybersicherheit strategisch im gesamten Unternehmen verankert ist. Der Reifegrad der Cyberresilienz lässt sich typischerweise anhand von fünf Stufen ermitteln: 1. Sicherheit nach demHäkchenprinzip In Unternehmen, die in puncto Cy- bersicherheit eher unreif sind, sind die Sicherheitsverantwortlichen selten Ent- scheidungsträger. Die meisten dieser Un- ternehmen haben keinen eigenen CISO. Stattdessen wird die Cybersicherheit von einem Teil des IT-Teams betreut. Diese Teams sind aber oft mit den täglichen Routineaufgaben ausgelastet, wie bei- spielsweise die Konfiguration von Servern, die Installation von Software-Updates und die Einrichtung von Laptops. 2. Der richtige Zeitpunkt für einen CISO Mit demWachstum eines Unternehmens vergrößert sich auch seine Angriffsfläche. Mehr Beschäftigte, Kunden, Partner und Lieferanten bedeuten zusätzliche Prozesse und Anwendungen, die wiederummehr Schwachstellen für Angreifer schaffen. An diesem Punkt stellen viele Unter- nehmen einen Cybersicherheitsexperten (CISO) ein. Die Position wird mit der Erwartung verknüpft, dass der Stellen- inhaber einenTeil seiner Zeit gemeinsam mit den Entwicklungsmitarbeitern in die Programmierung investiert. Für den CISO bleibt oft wenig Spielraum für die Planung und Umsetzung einer übergrei- fenden Cyberstrategie. IT und Sicherheit sollten effektive Kom- munikationskanäle etablieren, um sicher- zustellen, dass die Sicherheitsziele gemein- sam vereinbart und eine Kluft zwischen den beiden Funktionen vermieden wird. Eine regelmäßige Interaktion zwischen CISO und CIO fördert eine produktive Zusammenarbeit ihrer Teams. 3. Mehr als ein technischer CISO Auf dieser Reifestufe wird klar, dass der CISO mehr Autonomie benötigt, um Sicherheitskontrollen und -verfahren unternehmensweit zu bewerten und ein- zusetzen. CISOs brauchen die Befugnis, umfassendere Maßnahmen zum Schutz von Bereichen wie der Cloud-Sicher- heit zu implementieren und den Zugriff auf alle Unternehmenssysteme mithilfe von Zugriffsmanagementlösungen zu kontrollieren. Auch wenn andere Füh- rungskräfte Bedenken hinsichtlich der Sicherheitsinitiativen äußern, die mög- licherweise die Markteinführungszeit verlangsamen, müssen Führungskräfte den CISO unterstützen und wichtige neue Cybersicherheitsinitiativen fördern. Obwohl IT und Sicherheit nun getrenn- te Teams sind, sollten CIO und CISO weiterhin eng zusammenarbeiten, um IT-Ziele mit Sicherheitsanforderungen in Einklang zu bringen. Diese kontinuier- liche Abstimmung ist für die Sicherheit und einen reibungslosenGeschäftsbetrieb unerlässlich. 4. Der bevollmächtigte CISO Bei Unternehmen mit hohem Resilienz- grad nimmt der CISO an strategischen Meetings mit demVorstand teil und be- rät zu Cybersicherheitsrisiken, Resilienz und Wiederherstellungsfähigkeiten. In Zusammenarbeit mit dem Führungs- team ermittelt der CISO proaktiv die Risikotoleranz des Unternehmens und erstellt Analysen, umVeränderungen im Risikoprofil des Unternehmens aufzu- zeigen. Darüber hinaus entwickelt er die passende Strategie und Sicherheitsricht- linien, um die vereinbarten Toleranzen einzuhalten. Auf dieser Stufe beraten CISOs den Vorstand auch über die Vorteile bzw. Risiken neuer Technologien wie KI. Cy- bersicherheit ist ein fester Bestandteil der strategischen und operativen Planung. 5. Sicher durch Design In Unternehmen, die die höchste Stufe erreichen, ist Sicherheit fest in der Or- ganisation verankert. Nach den Grund- sätzen von „Secure by Design“ halten sich die Beschäftigten unternehmensweit an Sicherheitsprozesse und -richtlinien. Cybersicherheit ist damit die Grundlage aller Unternehmensaktivitäten. Kontinu- ierliche Tests der Unternehmenssysteme werden erwartet, und die Teams sind gut in der Vorfalls- und Datenwieder- herstellung geübt. Den Reifezyklus beschleunigen In Sachen Cybersicherheit gleicht kein Unternehmen dem anderen. Jedes hat seine eigene technische Infrastruktur, Arbeitsweise und strategischen Ziele. Daher ist es nicht einfach, die Geschwin- digkeit des Fortschritts im Cybersicher- heits-Reifezyklus zu berechnen. Durch das Verständnis der Merkmale der einzelnen Stufen können CIOs und Führungskräfte jedoch die Entwicklung interner Kandida- ten oder die Rekrutierung eines CISOmit den richtigen Fähigkeiten undQualitäten für ihre spezifischen Bedürfnisse besser aufeinander abstimmen. Dies trägt dazu bei, einen Reifegrad zu erreichen, der der Risikotoleranz der eigenen Organisation entspricht. Die Analyse des Reifegrads hilft auch, Lücken bei Kompetenzen und dem Rollenverständnis zu finden. Wer diese Lücken findet, kann sie schließen und somit eine höhere Cyberresilienz erreichen. www.commvault.com

RkJQdWJsaXNoZXIy MjE2Mzk=