Über Leistung und Risiken sprechen

Obwohl das Verhältnis zwischen IT-Security-Team und dem Management sich langsam verbessert, bleibt noch viel zu tun. Fouchereau erwähnte in diesem Zusammenhang drei strategische Prioritäten die laut IDC zur Blaupause gehören, mit der CISO (Chief Information Security Officer) den Wert der IT-Sicherheit gegenüber dem Management besser verdeutlichen können.

Zunächst sei es wichtig, dem Management zu vermitteln, dass die IT-Security im Unternehmen rein operationell wie eine gut geölte Maschine läuft, dass also die neusten Techniken und Methoden angewendet werden, um die Sicherheit der Unternehmens-IT zu gewährleisten. Dabei ist ihm zufolge darauf zu achten, dass eine Sprache gewählt wird, welche die Führungsebene auch versteht und somit die formidable operationelle Leistung auch nachvollziehen kann.

Noch wichtiger sei es jedoch, so Fouchereau, dass CISO dem Management erklären könnten, welche Risiken bestünden und wie diese von einer schlagkräftigen IT-Security-Organisation reduziert werden könnten. «Alles dreht sich ums Risiko», zitiert denn der IDC-Analyst in diesem Zusammenhang einen CISO, der betonen wollte, wie er am effizientesten das Gehör des Verwaltungsrats erhalte.

Die Interpretation der Wichtigkeit beruht laut Fouchereau auf Gegenseitigkeit. Denn ein optimiertes Risiko-Management sei auch die wichtigste Leistung, die Firmen von der Security erwarteten. Gemäss der bereits zitierten IDC-Studie verlangen mit 45 Prozent weitaus am meisten der befragten Unternehmen nämlich genau dies von der Security-Abteilung.

Als dritten Punkt auf dem Weg, den Wert der IT-Security gegenüber dem Management besser verdeutlichen zu können, erwähnt Fouchereau in seiner Präsentation den Aufbau von «digitalem Vertrauen». Hintergrund sei die Tatsache, dass fast 90 Prozent der Unternehmen die digitale Transformation als Top-Priorität für ihre Firma sehen. «Diese digitale Transformation benötigt digitales Vertrauen», ist Fouchereau überzeugt. «Und die Security-Abteilung hat hier die einzigartige Möglichkeit, zum Garant für den Erfolg der digitalen Transformation zu werden», schiebt er nach.

Konkret könne digitales Vertrauen aufgebaut werden, indem «Security in jeden Schritt eines Geschäftsvorhabens und auf jeder Ebene der Organisation implementiert» werde. Fouchereau sieht daher, dass dieser «Digital Trust» in Zukunft etwa auch ein Thema auf Verwaltungsratebene sein oder im digitalen Austausch mit Drittfirmen eine wichtigere Rolle einnehmen wird. Schliesslich könne es soweit führen, dass die in der Unternehmens-IT verwendeten Algorithmen von einer unabhängigen dritten Partei inspiziert würden. «Ziel ist es, Security zur Basis des Geschäftserfolgs werden zu lassen», meint Fouchereau zusammenfassend.