Das mächtigste CISO-Tool im KI-Zeitalter

Foto: Andrii Zastrozhnov | shutterstock.com

Der anhaltende Boom im Bereich der künstlichen Intelligenz (KI) übt immensen Druck auf die Teams in Unternehmen aus, entsprechende Produkte so schnell wie möglich – vor allem aber vor den Wettbewerbern – auf den Markt zu bringen. Diese Situation sollten CISOs nutzen, um zu demonstrieren, dass Security ein mächtiger Business Enabler ist.

Denn die Sicherheit eines Produkts entscheidet wesentlich darüber, ob es auf den Markt kommt – und das versteht wohl niemand besser als der CISO. Die Sicherheitsentscheider sind vor allem gefragt, auf die Emerging-Technologies-Bremse zu treten, wenn technologische Risiken nicht verstanden werden und entsprechende Gegenmaßnahmen nicht vollständig umgesetzt sind.

“Nein” ist nicht gleich “Nein”

Das weckt Erinnerungen an den Beginn der Cloud-Computing-Ära: Damals wurden viele CISOs, die den Cloud-Umstieg aus Sicherheitsgründen blockierten, schlicht umgangen. Entsprechend mussten Security-Aspekte im Nachgang eingezogen werden – ein suboptimales Schutzniveau war in vielen Fällen die Folge. Die Sicherheitsentscheider, die sich auf die Technologie einließen und sich mit ihren Security-Aspekten befassten, konnten das Business hingegen oft auf dem Weg in die Cloud unterstützen und mit ihren Sicherheitsinvestitionen überzeugende Geschäftsergebnisse erzielen.

Inzwischen hat sich die CISO-Rolle von einer reaktiven, technischen zu einer eher strategischen entwickelt, die sich aktiv in Business-Entscheidungen einbringt und Geschäftsleitung sowie Vorstand beratend zur Seite steht. Die Geschäftsziele und -ergebnisse werden in diesem Fall direkt davon beeinflusst, ob der CISO bestimmten Anfragen zustimmend oder ablehnend gegenübersteht. Fakt ist: CISOs müssen manchmal “Nein” sagen, um ihre Security-Initiativen zu unterstützen und Risiken effektiv zu kommunizieren. Allerdings sollten sie sich dabei nicht nur auf blanke Ablehnung beschränken, ansonsten besteht die Gefahr, dass die Sicherheitsabteilung zur “Nein”-Abteilung abgestempelt wird. Das wäre – insbesondere, wenn es um KI geht – eine ungünstige Entwicklung.

Vielmehr sollte das Sicherheits-Team als “Ja”-Abteilung gesehen werden, die vollumfänglichen Support für die Geschäftsziele leistet und parallel Risiken minimiert. “Nein” zu sagen und als “Nein”-Abteilung zu gelten, sind unterschiedliche Dinge. CISOs sollten jede Gelegenheit nutzen, um Sicherheitsaspekte so früh wie möglich in neue Innovationen einzubetten, statt eine Schatten-IT entstehen zu lassen, Sicherheit nachträglich einzuziehen oder die Umsetzung auf unbestimmte Zeit zu verschieben.

Wie “Nein” zum “Ja”-Katalysator wird

Um die Macht des “Nein” zu nutzen, sollten CISOs tracken:

• wie oft sie Anfragen ablehnen müssen,

• welche Gründe dafür maßgeblich sind und

• was das in Form potenziell verlorener Marktanteile tatsächlich kostet.

Ein Beispiel: Ein CISO hat wiederholt eine neue Funktion abgelehnt, weil die dafür nötigen technischen oder kulturellen Voraussetzungen nicht vorliegen und er das Risiko als zu hoch einschätzt. Er könnte sich an die Unternehmensleitung wenden und deutlich machen, dass das Risiko aus spezifischen Gründen hoch ist und dass die 8-Millionen-Dollar-Chance, die durch die Funktion entstehen kann, sich wahrscheinlich in eine 8-Millionen-Dollar-Verbindlichkeit verwandeln wird.

CISOs, die auf diese Art und Weise Business Cases erstellen und demonstrieren, wie die Security zum Business Enabler wird, können:

• eine Sicherheitskultur verankern, die Verantwortlichkeiten für die gesamte Belegschaft vorsieht. Das gewährleistet, dass Sicherheitshygiene und Eigenverantwortung auf jeder Ebene des Unternehmens gelehrt werden und alle Mitarbeiter ihren Teil zur Risikominimierung beitragen können.

• die Kosten für ein Tooling-Team rechtfertigen, das CI/CD-Pipelines mit integrierten Sicherheitsprüfungen aufsetzt und pflegt. So ist sichergestellt, dass die Entwickler in jeder Phase des Software Development Lifecycle Sicherheits-Feedback erhalten und sich auf die Funktionen konzentrieren können. Security sollte bei jedem Schritt der Produktentwicklung als Priorität angesehen werden, um sicherzustellen, dass sie im Prozess nicht “verlorengeht”.

• ein Schulungsprogramm aufsetzen und alle Produkt- und Entwicklungsteams mit Security-Ambassadoren ausstatten. Auf diese Weise wird sichergestellt, dass die Produkte von Beginn an unter der Berücksichtigung von Sicherheitsaspekten entwickelt werden. Das spart im weiteren Verlauf Zeit und Geld.

• klare, aber dennoch flexible Sicherheitsziele definieren. Im Security-Bereich gibt es diverse Aspekte zu bedenken und es ist die Aufgabe des CISO, Prioritäten und realistische Ziele auf Grundlage der verfügbaren Ressourcen zu setzen.

Diese Strategien können dazu beitragen, dass sich die Entwicklungsteams stärker für die Sicherheit ihres Produkts engagieren. Je früher dabei Security-Aspekte in die Produktentwicklung einfließen, desto unwahrscheinlicher werden auch unschöne Überraschungen zum Launch. Darüber hinaus können sie CISOs in die Lage versetzen, in Zukunft weniger oft “Nein” sagen zu müssen, weil Sicherheitsinvestitionen in einem besseren Verhältnis zum Risiko stehen und die Geschäftsleitung dieses besser einordnen kann.

Angesichts des Wettlaufs um die Einführung von KI-Lösungen war es für CISOs nie wichtiger als heute, “Nein” im Sinne von Geschäftsrisiken und -chancen zu verwenden, um Investitionen in Sicherheit und Business Resilience zu rechtfertigen und parallel ein modernen Unternehmen angemessenes Innovationstempo beizubehalten. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.