DRB Hintergrundbericht - ASW Newsletter Sicherheitspolitik KW11

Corporate Security & IT Security, zwei Welten?

zum Miteinander von Konzernsicherheit und IT Security im digitalen Wandel, in Projekten zur Integration bei DAX-Konzernen.

Können die miteinander?

CIO und CSO

Die Rolle eines CSO: Ihre jeweiligen Stellenbeschreibungen, ihre Berichtstrukturen, ihre Qualifikationen und ihre Befugnisse sind wild unterschiedlich.

Corporate Security ist viel mehr als Physical Security im Sinne von ISO 27001. Sie schließt physische, psychologische und legale Aspekte ein. Sie schließt strategische Planung, Fachverhandeln und die Fähigkeit praktische Probleme zu lösen ein.

Die meisten Organisationen, die mit E-Business-Druck kämpfen, erkennen, dass eine Neuorganisation der Security-Organisation notwendig ist.

IT und physische Sicherheit kombinierbar?

Es spielte sich diese Szene nach dem 11. September 2001 in dutzenden Chefzimmern ab: Der CEO einer Gesellschaft wollte wissen, wie es um die Robustheit seiner Security steht.

Das häufige Ergebnis war, dass die zwei Sicherheitsmanager einer schlüssigen und umfassenden internen Sicherheitsstrategie nie entsprochen hatten und sicher nicht entwickelt hatten.

Es war seltsam, dass zwei Abteilungen, jede mit derselben Auftragserklärung, Geschäftsrisiken zu reduzieren, ihre Bemühungen nicht koordinierten, dass es zwei Sicherheitsabteilungen im Unternehmen gab.

Der Grund dafür, zwei zu haben, ist historisch verständlich: physischer und personeller Schutz erfordern eine andere Sachkenntnis als der Schutz von Domains.

Aber Unternehmensführer tendieren dazu, operationelles Risikomanagement als einen Geschäftsprozess anzusehen. Der getrennte Geschäftsprozess von IT und Corporate Security ist auch eindeutig nicht effizient und auch unlogisch.

Insbesondere bei der Abwehr von unautorisiertem Informationsabfluss durch Spionage, Social Engineering, Cyber Crime ist Gemeinsamkeit unabdingbar.

Die Annäherung bedarf aber einer fachlichen Begleitung und Changemanagement-Prozessen. Die Charaktere und das Vokabular sind extrem voneinander entfernt und bedürfen der Mediation eines unabhängigen Dritten.

Wir begleiten die zumeist tiefen Verständnisprobleme in gemeinsamen Projekten zur Neuorganisation und Reifegradsteigerung der einzelnen Aufgaben.

In einer idealen Welt sind CIO und CSO zwei Fachverantwortliche die einem CRO (Chef Risk Officer) berichten sollten.

Aber es gibt keine Ideallösung. Jedes Unternehmen muss ihren individuellen Weg finden optimal den aktuellen Bedrohungsanforderungen zu begegnen und sich aufzustellen.


Ein Beitrag von Carsten Baeck
DRB Deutsche Risikoberatung GmbH

 

ASW Newsletter Sicherheitspolitik
KW 11/17, 17.03.2017

Den Hintergrundbericht als PDF erhalten Sie hier.