Das Wirkungsfeld eines CISO sind die Schnittstellen, welche sich zwischen den Dimensionen IT und Business sowie operativer und taktisch / strategischer Ebene aufspannen. Er muss die Organisation befähigen, jederzeit die Compliance-Vorgaben in Bezug auf den IT-Kontext des Unternehmens zu verstehen und die daraus nötigen Massnahmen Riskmanagement-basiert umzusetzen; er steht dafür in der Verantwortung gegenüber dem Management und ist zugleich externen Audits wie ISO oder ISAE unterworfen.
Auf dieser operativen wie auch taktischen und strategischen Gratwanderung muss er mit seinem Office vielfältige Kompetenzen abbilden, die von der Security-Architektur über Risk und Security Management bis hin zur Steuerung und Kontrolle sowie zur Beratung reichen.
Mit diesem anspruchsvollen Design ergeben sich Ziel und Zweck des von Inventx initiierten CISO2CISO-Circles ganz von selbst: Eine gemeinsame Perspektive und ein Austausch hinsichtlich taktischer und strategischer Informationssicherheitsthemen bietet gegenseitigen Nutzen, der in einer sich regelmässig zusammenfindenden Community aktiviert und gefördert werden kann.
Kick-off mit umfangreichem Sicherheitsprogramm
Am «CISO2CISO Kick-off» wurden ebenfalls das soeben von der Inventx-Geschäftsleitung genehmigte «ix.Security-Programm 2025» vorgestellt. Es bündelt zahlreiche Initiativen im Informationssicherheitsmanagement, im IT-Risikomanagement, in der Datensicherheit und in der Operationellen Sicherheit sowie im CISO-Office selbst. Es werden unter anderem die Methodik der Metriken ausgebaut (Verknüpfung von KPIs mit Benchmarks und Businesszielen), proaktiv Compliance Readiness vorangetrieben und die Schulungen zur Awareness intensiviert. «Security Hygiene» ist ebenso ein Thema wie Data Governance und die Umsetzung von Security Design in verschiedenen Produkten. Im CISO-Office soll explizit auf eine Förderung der Interaktion mit den CISOs der Kunden hingearbeitet werden, wozu auch diese neue Meet-up-Reihe beitragen soll.
Resilienz gegenüber zunehmender Bedrohungen stärken
Um die Relevanz der sicherheitsgerichteten Anstrengungen nochmals zu verdeutlichen, startete Reto Zeidler, Leiter des Cybersecurity Clusters, mit eindrücklichen Zahlen zur Bedrohungslage: Security-Events haben sich im Jahresvergleich mehr als verdoppelt, ein Fünftel davon passiert ausserhalb der Schweizer Betriebszeiten.
Nach dem Gastreferenten Roger Halbheer, Lead Security Advisor bei Microsoft, stellte Michael Kofler, Senior Security Analyst bei Inventx, den Security Incident Management Master Process vor. Wichtigstes Ziel beim Schutz von Assets und Daten und somit auch von Informationen und Vertrauen ist es, die Resilienz entlang der gesamten Bedrohungslage zu stärken.
Im Anschluss referierte Thorben Krausslach, Senior Security Consultant bei Inventx, zur Data Governance, woraufhin die versammelte CISO-Runde sich in einem Workshop mit Datenverlust-Szenarien und den entsprechenden Herausforderungen beschäftigte, die das Duo CISO und DPO (Data Protection Officer) zu bewältigen hat.
Thomas Fröhlich, Expert IT Architect Security bei Inventx, regte in seinem Vortrag an, den Maturitätsgrad in den Unternehmen anhand eines Cybersecurity Assessments zu validieren und daraus erforderliche Massnahmen abzuleiten.
Das kompakte Tagesprogramm bot viel «Food for Thought and Discussion» während Lunch und abschliessendem Apéro Riche. Das nächste Meet-up in dieser für Banken und Versicherungen matchentscheidenden Community ist bereits für kommenden Juni angesetzt.