Roman Samborskyi | shutterstock.com
CISOs befinden sich zunehmend in der Zwickmühle, wenn es darum geht, eine gesunde Stability zwischen Loyalität zu ihrer Organisation und ihren rechtlichen Verantwortlichkeiten zu finden. Zumindest legt das eine aktuelle Studie des Sicherheitsanbieter Splunk nahe, in deren Rahmen 600 CISOs weltweit befragt wurden. Demnach:
- geben 21 Prozent der befragten Sicherheitsentscheider an, schon einmal von anderen Führungskräften oder Vorstandsmitgliedern unter Druck gesetzt worden zu sein, Compliance-Verstöße nicht zu melden.
- würden 59 Prozent der Befragten in Erwägung ziehen, zum Whistleblower zu werden, falls Compliance-Erfordernisse ignoriert werden – die CISOs sind sich additionally der damit verbundenen Risiken bewusst.
“Alarmierend, aber nicht überraschend”
Diese Ergebnisse lassen bei unabhängigen Sicherheitsexperten die Alarmglocken schrillen. Zum Beispiel bei Sam Peters, Chief Product Officer beim Compliance-Spezialisten ISMS.on-line: „Druck auf den CISO auszuüben, damit er Compliance-Probleme unter den Teppich kehrt, ist nicht nur unethisch – es erhöht auch drastisch das Risiko, dass Sicherheitsentscheider persönlich haften müssen, und ist der langfristigen Resilienz einer Organisation massiv abträglich“, warnt der CPO.
Matthias Held, technischer Programmmanager bei Bugcrowd und ehemaliger CISO, erkennt in den Studienergebnissen von Splunk vor allem tiefere, systemische Probleme in der Wahrnehmung von IT-Sicherheit auf Führungsebene: „Die Ergebnisse sind alarmierend, aber leider nicht überraschend“, konstatiert er und verweist auf den Fall des ehemaligen Uber-CISOs Joe Sullivan. „Auch hier wurde die rechtliche Verantwortung dem CISO zugeschustert, anstatt die Wurzel des Übels zu beheben: Enterprise-Entscheidungen, die der Außendarstellung Vorrang vor der Sicherheit einräumen.“
