Support für den CISO: Der BISO – eine Brücke zwischen Cybersicherheit und Business

Die zunehmende Cloud-Migration, hybride Belegschaften, offene Lieferketten und nicht zuletzt Cyberkriege erfordern eine effektive Zusammenarbeit aller Abteilungen. Tatsache ist jedoch, dass es Security-Professionals oft an tiefgreifenden Business-Fähigkeiten mangelt und Führungskräften wiederum oft ein ganzheitliches Verständnis von Cybersicherheit fehlt. Der BISO kann hier Abhilfe schaffen. Bisher findet man BISOs vor allem in größeren Unternehmen und Konzernen, doch das allgemeine Interesse an dieser Position steigt.

Foto: insta_photos – shutterstock.com

Was ist ein BISO?

Vereinfacht ausgedrückt ist ein Business Information Security Officer (BISO) die Schnittstelle zwischen der Cybersicherheit und den Geschäftsprozessen und -anwendungen im Unternehmen. Er stellt einerseits sicher, dass die Fachabteilungen die Richtlinien und Vorgaben zur Cybersicherheit bestmöglich einhalten. Andererseits sorgt er dafür, dass Geschäftsprozesse mit den erforderlichen Maßnahmen zur Optimierung der Cybersicherheit synchronisiert werden.

Hinsichtlich seines Fachwissens unterscheidet sich ein BISO kaum vom CISO. Beide Positionen müssen sich gut mit modernen Cybersicherheitstechnologien auskennen. Ein BISO arbeitet in der Regel als rechte Hand des CISO und setzt die von diesem entwickelten Strategien auf operativer und taktischer Ebene um. Dies entlastet letztlich die CISOs und ihre Abteilungen, die aufgrund der stetig steigenden Anzahl von Cyberangriffen kaum mehr in der Lage sind, alle Geschäftsbereiche sowie vorhandenen Anwendungen und Prozesse vollständig zu kontrollieren und effektiv zu schützen.

Was sind die Aufgaben eines BISO?

Als Cybersicherheitsexperte ist es die Aufgabe des BISO, das Bewusstsein für dieses Thema im gesamten Unternehmen zu schaffen. So unterstützt er die Anwender bei der Einführung von Cybersicherheitstechnologien und -prozessen durch Schulungen, Sensibilisierungskampagnen und Workshops. Zudem arbeitet er auch mit Entwicklern zusammenarbeiten, um ein Höchstmaß an Sicherheit in deren Software Development Life Cycle (SDLC) zu integrieren. Dazu gehört beispielsweise auch die Überprüfung der Anmeldedaten aus einer Privileged Access Management (PAM)-Lösung.

Als Experte für Geschäftsprozesse stellt der BISO parallel sicher, dass der CISO und seine IT-Sicherheitsabteilung die Anforderungen der Geschäftsteams verstehen und geeignete Tools und Lösungen zur Verbesserung der Cybersicherheit bereitstellen. So müssen BISOs zum Beispiel den Bedarf und den Nutzen von Security Tools sichtbar machen können, die sich in die vom Unternehmen bereits verwendeten Kommunikations- oder Workflow-Tools integrieren lassen.

Darüber hinaus unterstützen BISOs Projekte zum Risikomanagement und zur Quantifizierung von Cyberrisiken. Diese können sie auf der Grundlage ihrer finanziellen und betrieblichen Auswirkungen auf die Unternehmensziele bewerten und damit priorisieren. Ziel ist es, dafür zu sorgen, dass die teuren Investitionen in die Cybersicherheitsinfrastruktur am Ende nicht umsonst waren, weil es unbekannte Lücken und Schwächen in der Umsetzung gibt.

Braucht mein Unternehmen einen BISO?

BISOs sind vor allem in großen, verteilten Unternehmen sinnvoll, in denen Informationen oft isoliert vorliegen und es den Mitarbeitenden schwerfällt, sämtliche Zuständigkeiten zu überblicken. In solchen Unternehmen ist es für den CISO und sein Team oft eine Herausforderung, proaktiv eine enge Verbindung zu allen Abteilungen aufzubauen. Darunter leidet die Cybersicherheit , weil letztlich blinde Flecken entstehen. Ein BISO hilft dabei vor allem in den folgenden Szenarien:

• · Unternehmen haben Schwierigkeiten, den geschäftlichen Nutzen von Cybersicherheitskomponenten zu messen oder zu kommunizieren.

• · Die Verantwortlichen im Unternehmen wissen nicht, welche IT-Assets für die Geschäftsprozesse am wichtigsten sind.

• · Es ist unklar, wer auf welche Systeme zugreift beziehungsweise zugreifen darf.

• · Benutzer umgehen regelmäßig Sicherheitsrichtlinien, weil sie diese nicht verstehen oder nicht wissen, wie sie die Tools richtig einsetzen.

Wo sollte der BISO angesiedelt sein?

Die Position des BISO hängt vom Unternehmen, den Prioritäten und dem Umfang der Sicherheitsinfrastruktur ab. Häufig berichtet der BISO direkt an den CISO und ist Teil der IT-Abteilung. Es gibt jedoch auch gute Gründe dafür, den BISO in einer Fachabteilung für Geschäftsprozesse im Unternehmen anzusiedeln. Denn wenn der BISO aus der Geschäftsperspektive berichtet, ist er besser in der Lage, die Zustimmung der einzelnen Abteilungen zu Sicherheitsinitiativen zu erhalten und kann dem Sicherheitsteam helfen, einen besseren Business Case zu erstellen. In jedem Fall muss die Kommunikation und Zusammenarbeit mit dem BISO in alle Richtungen erfolgen.

Fazit

Mit einer Mischung aus technischem Fachwissen, Geschäftssinn und hervorragenden Kommunikationsfähigkeiten sind BISOs der Dreh- und Angelpunkt, der die Cybersicherheitsmaßnahmen mit den geschäftlichen Anforderungen des Unternehmens verbindet. Sie stellen sicher, dass Geschäftsführer sinnvolle Investitionen und Budgetverteilungen vornehmen können, die einen lohnenden ROI bedeuten. Zudem sorgen BISOs dafür, dass elementare Security-Kontrollen und -Richtlinien abteilungsübergreifend verstanden und eingehalten werden. (jm)