Skip to main content
Home » Digitale Transformation » Die Rolle des Chief Information Security Officer (CISO)
Sponsored

Eine Analyse des Paradigmenwechsels in Bezug auf Verantwortlichkeiten und Qualifikationen

Im Rahmen einer laufenden Studie analysieren wir die Rolle des Chief Information Security Officer (CISO) anhand einer qualitativen Auswertung öffentlicher Stellenausschreibungen. In diesem Zusammenhang wurden zwischen Juli und September 2023 mehr als 400 Stellenanzeigen in den DACH-Regionen und den USA untersucht. Die resultierende Analyse legt ein Anforderungsprofil offen, welches einerseits eine umfassende technische Expertise in den Bereichen Informationstechnologie, IT- und Informationssicherheit erfordert, während andererseits vermehrt auf Schlüsselqualifikationen in den Bereichen Führung und Kommunikation hingewiesen wird. Diese Erkenntnisse spiegeln den Paradigmenwechsel wider, der sich in Bezug auf die Rolle und Verantwortung des CISO in Organisationen vollzieht, hin zu einer verstärkten Integration in organisationsstrategische Prozesse1. Diese Entwicklung findet auch Unterstützung in der Studie von van Yperen Hagedoorn et al., welche die Anforderungen an überfachliche Qualifikationen des CISO beleuchtet. Hierbei werden neben fachlicher Expertise auch Eigenschaften wie Integrität, Anstand, eine positive Grundhaltung, zwischenmenschliche Fähigkeiten und eine ausgeprägte Arbeitsethik als essentielle Eigenschaften hervorgehoben2.

Ungeachtet dieser Veränderungen und Anpassungen verlangen viele der untersuchten Stellenausschreibungen akademische Abschlüsse in technischen Fachrichtungen wie Cybersecurity oder Informatik sowie spezialisierte Zertifizierungen, darunter CISA, CISM oder CISSP. Überfachliche Qualifikationen und Kompetenzen stehen in diesen Ausschreibungen häufig nicht im Vordergrund. Dies lässt sich möglicherweise auf ein begrenztes Verständnis seitens der Unternehmen bezüglich der sich wandelnden Rolle des CISO zurückführen und könnte auch zu verzerrten Erwartungshaltungen bei den Bewerbern führen.

Diese Veränderungen und die damit einhergehenden Spannungen können mit der allgemeinen Wahrnehmung der Rolle des CISO in Organisationen zusammenhängen.

Sowohl aus Sicht der oberen Führungsebene als auch aus der Perspektive der CISOs wird die Cybersecurity oft mit negativen Nachrichten assoziiert, wodurch die Rolle des CISO als Überbringer solcher Nachrichten geprägt wird. Zugleich nutzen einige CISOs bewusst eine Form der Rhetorik, die Ängste bei der Unternehmensleitung auslösen kann, etwa durch den Einsatz von Kriegs-Metaphern. Solche Interaktionen können zur Abgrenzung und Entfremdung des CISO von der Organisation beitragen3. Gleichzeitig dient diese Rhetorik u.a. zur Beschreibung neuer Technologien. Die Diskussion über den Umgang mit Cybersicherheitsproblemen ist dabei von Metaphern des “Cyberkriegs” dominiert, welche im Rückschluss auch die Zusammenarbeit in Organisationen einschränken, indem sie Ängste verstärken, anstatt die proaktive Maßnahmenergreifung zu fördern4.

Im Hinblick auf die sich verändernde Rolle des CISO wird deutlich, dass dieser Wandel auch den Erwerb neuer Kompetenzen erfordert, die möglicherweise nicht durch die derzeit geforderten Schulungen, Zertifizierungen oder akademische Abschlüsse abgedeckt werden. Die Anforderungen an eine positive Einstellung und eine angemessene Kommunikation könnten mitunter im Konflikt mit der tatsächlich verwendeten Sprache stehen. Eine erfolgreiche Anpassung erfordert daher eine kritische Reflexion seitens des CISOs hinsichtlich seiner Identität und seiner Rolle innerhalb des eigenen Unternehmens.

Weitere Informationen

www.difesa.de/mc20234
Nächste CISO Master Class vom 29. Nov. – 1. Dez.

Quellenangaben

1 R. PUTRUS, „THE ROLE OF THE CISO AND THE DIGITAL SECURITY LANDSCAPE“, ISACA J., BD. 2, 2019.

2 J. M. J. VAN YPEREN HAGEDOORN, R. SMIT, AMSTERDAM UNIVERSITY OF APPLIED SCIENCES, AMSTERDAM, NETHERLANDS, P. VERSTEEG, UND P. RAVESTEIJN, „SOFT SKILLS OF THE CHIEF INFORMATION SECURITY OFFICER“, IN 34TH BLED ECONFERENCE DIGITAL SUPPORT FROM CRISIS TO PROGRESSIVE CHANGE: CONFERENCE PROCEEDINGS, UNIVERSITY OF MARIBOR PRESS, 2021, S. 467–480. DOI: 10.18690/978-961-286-485-9.34.

3 J. DA SILVA UND R. B. JENSEN, „‚CYBER SECURITY IS A DARK ART‘: THE CISO AS SOOTHSAYER“, PROC. ACM HUM.-COMPUT. INTERACT., BD. 6, NR. CSCW2, S. 1–31, NOV. 2022, DOI: 10.1145/3555090.

4 J. SLUPSKA, „WAR, HEALTH AND ECOSYSTEM: GENERATIVE METAPHORS IN CYBERSECURITY GOVERNANCE“, PHILOS. TECHNOL., BD. 34, NR. 3, S. 463–482, SEP. 2021, DOI: 10.1007/S13347- 020-00397-5.

Next article