Neue Fähigkeiten für eine neue Ära
Diese Entwicklung bringt eine Reihe neuer benötigter Fähigkeiten mit sich. Cybersicherheit, einschließlich technischer Fachkenntnisse, ist nach wie vor entscheidend, muss aber mit Risikoquantifizierung, Enterprise Risk Management, Bedrohungserkennung, geopolitischer Kompetenz und dem Bewusstsein für Rechtsvorschriften kombiniert werden. Der moderne Sicherheitsverantwortliche muss sich mit Business Continuity und Desaster Recovery auskennen, und nicht nur das Thema Incident Response kennen. Außerdem muss er die Sprache von Rechtsberatern, Aufsichtsbehörden und Vorständen sprechen sowie die Dynamik der Haftung, die Risiken in der Lieferkette und die versteckten Schwachstellen der digitalen Verflechtung verstehen.
Die Neuausrichtung der Rolle ist entscheidend für die Bindung von Talenten
Von CISOs wird heute erwartet, dass sie Sicherheitsverletzungen verhindern, die sie nicht kontrollieren können, und für Risiken einstehen, die sie nicht zu verantworten haben. Es überrascht nicht, dass viele von ihnen ausbrennen. Daher verlassen einige dieses Berufsfeld ganz. In Deutschland geben 67 Prozent der CISOs in der Finanzbranche an, dass es immer schwieriger wird, eine Stelle im Sicherheitsbereich zu besetzen, – ein Zeichen dafür, dass die Reputation des Berufs nicht zukunftsfähig ist.
Ein oft übersehener Faktor, der diese Diskrepanz verursacht, ist die Organisationsstruktur. CISOs, die an Chief Technology Officers (CTOs) oder Chief Financial Officers (CFOs) berichten, haben häufig nicht die strategische Sichtbarkeit oder den Einfluss, um Entscheidungen über Unternehmensrisiken zu treffen. Da sie an Technologie- oder Finanzsilos gebunden sind, sind sie gezwungen, systemische Risiken von der Seitenlinie zu verwalten, aber nicht aktiv mitzuspielen. Um effektiv führen zu können, müssen sich die Sicherheitsverantwortlichen direkt mit dem Vorstand oder dem CEO abstimmen – nicht nur, um Vorfälle zu eskalieren, sondern um von Anfang an bei der Gestaltung der Resilienzstrategie mitzuwirken. Die Entwicklung hin zu einem Chief Risk Architect ist also nicht nur eine Frage der Fähigkeiten. Es geht auch um den Sitz am großen Tisch. Denn wohin ein CISO berichtet, bestimmt oft, ob er führen kann – oder nur reagiert.
