Deshalb muss sich die Rolle von Cybersecurity-Führungskräften ändern
Die Rolle von Cybersecurity-Führungskräften muss neu definiert werden. Derzeit findet eine Verlagerung der Verantwortung aus der IT und in die Chefetage statt. Damit verlieren Cybersecurity-Verantwortliche an direkter Kontrolle.
Die Rolle von Cybersecurity-Führunskräften muss sich weiterentwickeln und neu definiert werden. Zu diesem Schluss kommt das Marktforschungsunternehmen Gartner. Die Verantwortung für Cyberrisiken befinde sich zunehmend ausserhalb der IT-Abteilung und durch ein zunehmend dezentralisiertes Ökosystem gehe die direkte Entscheidungskontrolle verloren.
Führungskräfte im Bereich Sicherheits- und Risikomanagement (SRM) würden derzeit viel Aufwand in die Bewertung und Beeinflussung der "Cybergesundheit" externer Parteien investieren. Zudem träfen Mitarbeitende immer mehr Entscheidungen, die sich auf Cyberrisiken auswirken, und es werden Führungsgremien gebildet, die nicht in den Zuständigkeitsbereich des Cybersicherheits-Verantwortlichen fallen.
Gemäss den Analysten von Gartner werden diese Faktoren zu einem Umfeld führen, in dem Cybersecurity-Verantwortliche weniger direkte Kontrolle über viele der Entscheidungen haben, die heute in ihren Zuständigkeitsbereich fallen. "Cybersecurity-Führungskräfte sind ausgebrannt, überarbeitet und im 'Always-on'-Modus", sagt Sam Olyaei, Research Director bei Gartner. "Das spiegelt direkt wider, wie sich die Rolle in den letzten zehn Jahren erweitert hat, da die Erwartungen der Stakeholder innerhalb ihrer Organisationen immer weiter auseinanderklaffen".
Ausweitung der Verantwortlichkeiten für Cybersicherheit
Weiter heisst es bei Gartner, dass 88 Prozent der Vorstände Cybersicherheit als Geschäftsrisiko und nicht als technische Herausforderung betrachten. Daher hätten 13 Prozent der Unternehmen spezielle Cybersecurity-Gremien eingerichtet, die von einem dedizierten Direktor überwacht werden.
Ausserdem prognistiziert Gartner, dass bis 2026 mindestens die Hälfte der Führungskräfte Klauseln mit Leistungsanforderungen in Bezug auf Cybersecurity in ihren Verträgen haben werden. Das werde sich Gartner zufolge auf Aktualität und die Qualität der Entscheidungen zum Thema IT-Risiken auswirken. Diese Entscheidungen würden zunehmend von Interessensgruppen getroffen, die nicht in den Zuständigkeitsbereich von IT oder Sicherheit fallen.
Die Analysten von Gartner erwarten als Reaktion darauf eine Verlagerung der formalen Verantwortlichkeit auf die Geschäftsleitung. Die Schwierigkeit dabei ist, dass die Geschäftsleitung gegenüber dem CEO vor allem für die Erreichung strategischer Ziele wie Umsatz und Kundenzufriedenheit verantwortlich ist.
Neudefinition der Cybersecurity-Verantwortung
Da sich die formale Verantwortlichkeit für Cyberrisiken auf das Unternehmen verlagert, muss gemäss den Analysten von Gartner die Rolle des Cybersecurity-Verantwortlichen neu definiert werden, um erfolgreich zu sein.
Die Rolle des Cyber-Beauftragten in Unternehmen muss neu gestaltet werden. (Source: Gartner / Übersetzung Netzmedien)
"Die Rolle des CISO muss sich von der 'de facto' verantwortlichen Person für die Behandlung von Cyberrisiken zu einer verantwortlichen Person entwickeln, die sicherstellt, dass die Unternehmensleiter über die Fähigkeiten und das Wissen verfügen, die erforderlich sind, um fundierte, qualitativ hochwertige Entscheidungen über Informationsrisiken zu treffen", so Olyaei.
Cybersecurity als Teil der ESG-Berichterstattung
Das Interesse der Anleger, öffentlicher Druck, die Forderungen von Mitarbeitenden und staatliche Vorschriften führen gemäss der Prognose dazu, dass Unternehmen vermehrt Ziele und Kennzahlen zur Cybersicherheit als Geschäftsanforderung verfolgen. Cybersecurity werde ein Teil der öffentlichen ESG-Ziele (Umwelt, Soziales und Unternehmensführung).
In der Folge sollen bis 2026 30 Prozent der Unternehmen Cybersicherheit als Teil ihrer öffentlichen ESG-Ziele definieren. 2021 sei dies bei weniger als 2 Prozent der Unternehmen der Fall gewesen.
"Die Erwartungen, dass Unternehmen ihre Sicherheitsrisiken transparenter darstellen sollten, sind gestiegen, was zu einer öffentlichen Nachfrage nach grösserer Transparenz in der ESG-Berichterstattung geführt hat", sagte Claude Mandy, Forschungsdirektor bei Gartner. "Cybersecurity ist nicht mehr nur ein Risiko für das Unternehmen, sondern ein gesellschaftliches Risiko."
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.