RSA-Studie: CISOs und CEOs verstehen sich nicht

Es gibt zu wenig Kommunikation zwischen den Sicherheitsfachleuten und den Chefs von Unternehmen. Das ist das Ergebnis der Studie 'Bridging the CISO-CEO Divide', einer internationalen Befragung von Information Security Officers (CISO) und Fortune-500-CEOs.

"Die Risikoanalyse muss ein Grundsatz in Unternehmen sein", erklärt Michael Capellas, Chairman und CEO First Data. "Dies ist der Ausgangspunkt. In der Geschäftssprache geht es ganz klar um die Benennung von Risiken. Wenn ein CISO nicht dazu in Lage ist, die Ausmaße der Risiken verständlich zu erläutern, wird er auch keinen Erfolg haben."

Die Aufgabe des CISOs sei es, den CEO davon zu überzeugen, dass die Ausrichtung der Geschäftstätigkeit auf Sicherheitsanforderungen unverzichtbar ist.

Die Studie bietet einen Leitfaden, wie CISOs optimal argumentieren und agieren können:

• Sicherheitsexperten innerhalb der Vorstandsetage etablieren.
• Errichtung einer transparenten Organisationsstruktur innerhalb der Sicherheitsabteilung sowie Vermittlung ihrer Bedeutung für das gesamte Unternehmen.
• Risiken durch quantitative Darstellung greifbar machen.

Auch für CEOs bietet die Studie Handlungsempfehlungen für die effektive Kommunikation mit Fachkräften für Informationssicherheit. Keinesfalls sollten CEOs:

• Die falsche Haltung an der Unternehmensspitze vorleben oder Gleichgültigkeit gegenüber dem Thema Informationssicherheit zeigen.
• Informationssicherheit nur als technologischen oder Compliance-relevanten Randaspekt betrachten.
• Den Verantwortungsbereich Informationssicherheit nicht klar an eine Führungskraft, die auf Vorstandsebene angesiedelt ist, übertragen.

Durchgeführt wurde die Studie durch das Security for Innovation Business Council, dem Sicherheitsexperten der weltgrößten Organisationen angehören. In Auftrag gegeben hat sie die EMC-Sicherheitstochter RSA.