Yaroslav Astakhov - stock.adobe.
Wie die Rolle des BISO den CISO unterstützen kann
Da IT-Sicherheit ein kritischer Faktor für fast jeden Geschäftsbetrieb ist, ist die Rolle des BISO (Business Information Security Officer) als Ergänzung zum CISO zunehmend wichtig.
Ein Business Information Security Officer (BISO) ist eine Art leitende Führungskraft im Bereich Cybersicherheit, deren Aufgabe es ist, an der Schnittstelle zwischen Sicherheits- und Geschäftsinteressen Orientierung und Führung zu bieten.
Der Business Information Security Officer (BISO) ersetzt nicht den Chief Information Security Officer (CISO), sondern ergänzt dessen Aufgaben. CISOs haben oft Schwierigkeiten, sich auf strategische Fragen zu konzentrieren und gleichzeitig die täglichen Sicherheitsanforderungen aller Abteilungen innerhalb der von ihnen zu schützenden Organisationen zu erfüllen. Hier kommt der BISO ins Spiel.
Die Rolle des BISO hat sich zu einer Schlüsselfunktion in modernen Organisationen entwickelt, die mit hochentwickelten Cyberbedrohungen und komplexen Compliance-Anforderungen konfrontiert sind. Da sich Cybersicherheit von einem rein technischen Anliegen zu einer geschäftskritischen Notwendigkeit entwickelt hat, ist der Bedarf an Sicherheitsexperten, die sowohl mit technischen Teams als auch mit der Unternehmensleitung effektiv kommunizieren können, unverzichtbar geworden.
Was macht ein BISO?
BISOs verfügen sowohl über Fachwissen im Bereich Cybersicherheit als auch über betriebswirtschaftliche Kenntnisse, sodass sie Sicherheitsrisiken in betriebswirtschaftlichen Begriffen statt in abstrakten technischen Konzepten kommunizieren können. Sie verstehen die Ziele und Vorgaben beider Bereiche und können die besten Wege zum Umgang mit konkurrierenden Prioritäten identifizieren. BISOs fungieren eher als strategische Wegbereiter für das Geschäft und nicht als operative Gatekeeper und geben eine Richtung für die Cybersicherheit vor, die technische und betriebswirtschaftliche Interessen miteinander verbindet.
Anstatt Sicherheit als externe Einschränkung zu betrachten, integrieren BISOs Sicherheitsaspekte in die täglichen Geschäftsprozesse. Sie können auch Sicherheitsprobleme aus der Praxis an den CISO weiterleiten und Diskrepanzen zwischen Sicherheitsstrategien und -praktiken aufzeigen.
Die Aufgaben des BISO
Zu den gängigen Aufgaben des BISO gehören:
- Ansprechpartner. Dient als primärer Ansprechpartner zwischen dem zentralen Cybersicherheitsteam und der/den Geschäftseinheit(en) und erleichtert die Kommunikation und Zusammenarbeit sowohl bei alltäglichen Problemen als auch bei der Reaktion auf Vorfälle.
- Aufklärung der Beteiligten. Übersetzung komplexer Sicherheitskonzepte in Geschäftsbegriffe und Aufklärung der Führungskräfte und Mitarbeiter durch entsprechende Schulungen zum Sicherheitsbewusstsein.
- Risikobewertung. Leitung von geschäftseinheitsspezifischen Cyberrisikobewertungen.
- Umsetzung von Richtlinien. Unterstützung, Förderung und Umsetzung von Sicherheitsrichtlinien, -verfahren und -leitlinien, die sowohl mit den Geschäftszielen als auch mit den gesetzlichen Anforderungen im Einklang stehen.
- Überwachung der Compliance. Unterstützung bei der Überwachung und Sicherstellung der Einhaltung von Sicherheitsrichtlinien, regulatorischen Anforderungen und Branchenstandards innerhalb der zugewiesenen Geschäftsbereiche.
- Lieferantenmanagement. Bewertung und Management von Sicherheitsrisiken durch Dritte, die mit Lieferanten, Auftragnehmern und Partnern der Geschäftseinheit verbunden sind.
- Beitrag zur Sicherheitsarchitektur. Als strategischer Berater vermitteln der BISO die Perspektive der Geschäftseinheit zu Entscheidungen hinsichtlich der Sicherheitsarchitektur und zur Implementierung von Technologien.
- Metriken und Berichterstattung. Verfolgung und Berichterstattung über die Wirksamkeit von Sicherheitsprogrammen in zugewiesenen Bereichen, um sowohl der Unternehmensleitung als auch den zentralen Sicherheitsteams einen Überblick zu verschaffen.
Wie unterscheiden sich die Rollen von CISO und BISO?
Obwohl beide Rollen für die Sicherheit eines Unternehmens unverzichtbar sind, arbeiten CISOs und BISOs auf unterschiedlichen Ebenen und haben unterschiedliche Schwerpunkte und Verantwortungsbereiche.
Der entscheidende Unterschied liegt in ihrem Zuständigkeitsbereich und ihrem operativen Schwerpunkt: CISOs übernehmen die strategische Führung im gesamten Unternehmen, während BISOs als taktische Umsetzer innerhalb bestimmter Geschäftsbereiche oder Abteilungen fungieren.
Der entscheidende Unterschied liegt in ihrem Zuständigkeitsbereich und ihrem operativen Schwerpunkt: CISOs übernehmen die strategische Führung im gesamten Unternehmen, während BISOs als taktische Umsetzer innerhalb bestimmter Geschäftsbereiche oder Abteilungen fungieren.
Die Rollen von BISO und CISO im Vergleich:
|
|
CISO |
BISO |
| Wirkungsbereich |
Unternehmensweit |
Geschäftsbereichsspezifisch |
| Schwerpunkt |
Strategisch |
Taktisch und operativ |
| Primäre Rolle |
Erstellung von Richtlinien und Governance |
Umsetzung und Übersetzung von Richtlinien |
| Berichtsstruktur |
Führungskräfte der C-Ebene und Vorstand |
CISO und Leiter der Geschäftsbereiche |
| Wichtigste Aufgaben |
Unternehmensweite Sicherheitsstrategie, Compliance auf hoher Ebene, Aufbau einer Unternehmenskultur |
Geschäftsbereichsspezifisches Risikomanagement, operative Sicherheit, lokale Compliance |
| Entscheidungsbefugnis |
Unternehmensweite Sicherheitsrichtlinien und Budgets |
Umsetzung von Sicherheitsmaßnahmen in den Geschäftsbereichen innerhalb genehmigter Rahmenbedingungen |
| Perspektive |
Organisatorische Risiken und Governance |
Kontext und Abläufe in den Geschäftsbereichen |
Wo sich die Rolle des BISO etabliert
Nicht jedes Unternehmen benötigt oder sollte einen BISO haben, während andere von mehreren BISO profitieren könnten. Diese Rolle ist vor allem in großen Unternehmen mit komplexen Strukturen üblich, wo CISOs von Verbindungen zu verschiedenen Geschäftsbereichen profitieren.
Auch mittelständische Unternehmen könnten von der Einsetzung von BISO profitieren, wenn sie in stark regulierten Branchen tätig sind oder komplexe Betriebsstrukturen aufweisen.
Die folgenden Branchen sind führend bei der Etablierung von BISO:
- Finanzdienstleistungen. Komplexe regulatorische Anforderungen, mehrere Geschäftsbereiche mit unterschiedlichen Risikoprofilen, wertvolle Angriffsziele.
- Gesundheitswesen. Hohe gesetzliche und regulatorische Anforderungen, komplexe Betriebsstrukturen, Schutz kritischer Infrastrukturen.
- Energie und Versorgungsunternehmen. Schutz kritischer Infrastrukturen, Sicherheit der Betriebstechnologie (OT, Operational Technology).
- Fertigung. Komplexe Sicherheit der Lieferkette, OT-Sicherheit, branchenspezifische Vorschriften.
- Große Beratungsunternehmen. Umgebungen mit mehreren Kunden und unterschiedlichen Sicherheitsanforderungen.
Organisationen mit folgenden Voraussetzungen, werden wahrscheinlich eher keinen BISO einsetzen:
- Einfache Organisationsstrukturen.
- Überschaubare Belegschaft
- Stark eingeschränkte Budgets für Cybersicherheit.
- CISOs mit starken, bestehenden Beziehungen zu Stakeholdern aus den Fachbereichen.
- Mangelndes Engagement der Führungskräfte, die Rolle des BISOs klar zu definieren.
BISO: Fähigkeiten und Qualifikationen
Voraussetzung für den Erfolg von BISOs ist eine Kombination aus technischem Wissen, Geschäftssinn und zwischenmenschlichen Fähigkeiten, die sie von traditionellen Cybersecurity-Rollen unterscheiden.
Soft Skills für BISO
Die wichtigste Fähigkeit für BISOs ist die Fähigkeit, als effektive Übersetzer zwischen technischen Sicherheitsteams und Geschäftsinteressenten zu fungieren. Dies erfordert ausgeprägte Kommunikationsfähigkeiten, aktive Fähigkeiten zum Zuhören und die Fähigkeit, komplexe Sicherheitskonzepte in Geschäftsterminologie zu erklären.
Technische Qualifikationen für BISO
Auch wenn tiefgreifende technische Fachkenntnisse nicht immer erforderlich sind, sollten BISOs über umfassende Sicherheitskenntnisse in verschiedenen Bereichen verfügen, darunter Netzwerksicherheit, Anwendungssicherheit sowie Risikomanagement- und Compliance-Frameworks. Für eine effektive Risikobewertung und Sicherheitsimplementierung sind Kenntnisse über Geschäftsanwendungen, Systemarchitekturen und Datenströme von großem Wert.
Geschäftliche Qualifikationen für BISO
Ein ausgeprägter Geschäftssinn ist von entscheidender Bedeutung, einschließlich eines Verständnisses für Geschäftsabläufe, Finanzgrundsätze und Projektmanagement. Erfahrungen im Betrieb von Geschäftseinheiten, sei es durch direkte Berufserfahrung oder durch funktionsübergreifende Projekte, bieten einem BISO wertvolle Perspektiven.
Berufserfahrung
Die meisten erfolgreichen BISOs verfügen über sieben bis zehn Jahre kombinierte Erfahrung in den Bereichen Cybersicherheit und Geschäftsabläufe. Dazu können Hintergründe in den Bereichen Sicherheitsberatung, Geschäftsanalyse, Projektmanagement oder frühere Sicherheitsfunktionen mit bedeutender Beteiligung am Geschäftsbetrieb gehören.
Zertifizierungen und Abschlüsse für BISOs
Zu typischen, wenngleich nicht zwingenden, Zertifizierungen und Abschlüssen für die Rolle des BISO gehören exemplarisch die folgenden:
- CISSP (Certified Information Systems Security Professional)
- CISM (Certified Information Security Manager)
- Zertifiziert in Risiko- und Informationssystemkontrolle.
- Geschäftsorientierte Zertifizierungen, wie zum Beispiel Projektmanagement-Fachmann
- Betriebswirtschaftliche Abschlüsse
