Wie CIOs und CISOs für den Erfolg in der neuen Cloud-Ära zusammenarbeiten können

Die rasche Einführung von Multi-Cloud-IT-Umgebungen und der Umstieg auf hybride Arbeitsmodelle erfordern eine neue Dynamik in der Führungsetage: eine engere Zusammenarbeit zwischen CIOs und CISOs. 

Durch die Bündelung ihrer Kräfte können CIOs und CISOs ein gesundes Gleichgewicht zwischen dem Tempo der technischen Innovation und der Risikominderung finden. So wird eine schnellere und effizientere Umstellung auf die Cloud ermöglicht, vor allem, wenn es um komplexere Multi-Cloud-Umgebungen geht. DevSecOps-Teams können die Risiken bei der Einführung neuer Softwareanwendungen verringern. Eine engere Zusammenarbeit zwischen CISOs und CIOs ermöglicht es, gemeinsam die betrieblichen Herausforderungen und Sicherheitsrisiken neuer Technologien zu bewerten.

Um all dies zu erreichen, müssen sich beide Seiten aber auf eine Agenda mit gemeinsamen Zielen einigen. CIOs müssen zum Beispiel darauf hinarbeiten, bei allen neuen Technologieinvestitionen die Sicherheitsaspekte zu berücksichtigen, während CISOs nicht zulassen dürfen, dass die Angst vor Risiken die digitale Transformation ausbremst. Für viele Organisationen ist dies schwierig und kann nur gelingen, wenn ein gemeinsames Verständnis dafür besteht, dass Innovation und Sicherheit untrennbar miteinander verwoben sind. 

„Es gibt viele Stolpersteine“, sagt Tressa Springmann, CIO von LifeBridge Health, einem gemeinnützigen Anbieter von Gesundheitsdienstleistungen in den USA. Rick Miller, CISO von LifeBridge, ergänzt: „Normalerweise trifft man sich in der Mitte, um das richtige Gleichgewicht zwischen Sicherheit und betrieblichen Abläufen zu erreichen.“

Lesen Sie, wie ein globaler Telekommunikationsanbieter bei seiner Elastic-Investition einen ROI von 283 % erzielt hat.

Kluge Kompromisse

Bei LifeBridge mit seinen über 12.000 Mitarbeitenden und sechs Krankenhäusern in und um Baltimore (US-Bundesstaat Maryland) können Investitionen in neue Informationstechnologien – wie die elektronische Gesundheitsakte, Tools für virtuelle Telemedizinanwendungen und Lösungen für die genomische Diagnose – auch mit zusätzlichen Sicherheitsrisiken verbunden sein. Cybersicherheit im Gesundheitswesen hat sich zu einem wichtigen Thema entwickelt, denn Cyberangriffe haben bereits Krankenhausnetzwerke lahmgelegt und so die Patientenversorgung beeinträchtigt. Laut US-Behörden sind allein im vergangenen Jahr durch Datenschutzverletzungen über 40 Millionen Patientendatensätze öffentlich zugänglich gemacht worden. 

Wie gehen führende Technologieunternehmen mit den wachsenden Bedrohungen um?

Miller zufolge sind ungeachtet der bestehenden Risiken die Budgets im Gesundheitswesen nur sehr eingeschränkt auf Investitionen in die sehr teuren Hilfsmittel ausgelegt, die für den Schutz von Daten erforderlich sind. 

Das kann schwierige Kompromisse erforderlich machen. So schlug Miller vor, das IT-Netzwerk des Krankenhauses zu segmentieren, um das Risiko einer Sicherheitsverletzung zu verringern. Allerdings würde die Umsetzung dieses Vorschlags sehr kostspielig werden und mehr IT-Support erfordern. Daraufhin wurde er von Springmann aufgefordert, diese Zusatzkosten durch Vorlage zusätzlicher Daten zu begründen. „Wenn CISO und CIO zusammenarbeiten, um sicherzustellen, dass die wirtschaftlichen Aspekte für das Unternehmen funktionieren, statt gegeneinander zu arbeiten, kann sich das ganz klar auszahlen“, so Miller.

In einem anderen Fall sahen sich Springmann und Miller gemeinsam die IT-Systeme eines kürzlich übernommenen Unternehmens an, um sie zu bewerten. Die Hauptaufgabe von Springmann bestand darin, die Hard- und Software dieses Unternehmens zu begutachten, während Miller sich mit den Sicherheitsrisiken beschäftigte. Statt, wie in anderen Unternehmen oft üblich, die Vorgehensweise des jeweils anderen zu konterkarieren, arbeiteten die beiden zusammen, um sicherzustellen, dass die Übernahme zustande kam und die Risiken gemindert wurden, so Miller. 

„Dies ermöglichte eine sehr ganzheitliche Sicht auf die Übernahme“, berichtet Springmann und Miller ergänzt: „Sicherheitsaspekte sind in alles integriert, was wir hier bei LifeBridge Health tun.“

Entdecken des gemeinsamen Nutzens von DevSecOps

Die Implementierung von DevSecOps – einer organisatorischen Praxis, bei der Entwicklungs-, Sicherheits- und IT-Operations-Teams gemeinsam für die Sicherheit neuer Softwareanwendungen verantwortlich sind – ist für CIOs und CISOs ein logischer Ansatzpunkt, um die Arbeitsbeziehungen zu verbessern. Für beide ist es gleichermaßen wichtig, dass die Software vor Cyberangriffen geschützt ist und schnell eingesetzt werden kann. 

Laut Umfragedaten von 451 Research, Teil von S&P Global Market Intelligence, nimmt die Nutzung von DevSecOps in der Praxis zu. Demnach lag der Anteil der Entwicklungsteams, die Tools für die Anwendungssicherheit einsetzten, im Jahr 2020 bei 48 %, während es 2015 nur 29 % waren.

„Man stelle sich nur einmal vor, was alles möglich wäre, wenn diese Teams und Prozesse besser zusammenarbeiten würden“, so Gagan Singh, Product Marketing VP bei Elastic. „Observability-Daten könnten Sicherheitsteams mehr Kontext liefern und so helfen, Bedrohungen schneller zu erkennen und zu bekämpfen. Gleichzeitig könnten Entwickler:innen, die sich mit Sicherheitstechnologien auskennen, die Reibungsverluste bei der Entwicklung verringern, indem sie von Anfang an für Sicherheit sorgen.“

Umstieg auf die Cloud 

Ein weiterer Bereich, in dem Organisationen von einer engeren Zusammenarbeit zwischen CIO und CISO profitieren, ist die Cloud-Migration. Die Cloud bietet einen erheblichen geschäftlichen Nutzen in Bezug darauf, wie Unternehmen Informationen nutzen und austauschen – und sie verändert deutlich die Art der Cyberrisiken. Dies gilt insbesondere für Multi-Cloud-Umgebungen, die zwar das Bedrohungsniveau in einigen Teilen verringern können, gleichzeitig aber mit einem erhöhten Aufwand für die Überwachung aller Vorgänge in der Cloud und die Verwaltung der verschiedenen Einstellungen und Berechtigungen verbunden sind.

Auch wenn Organisationen von einer stärkeren Zusammenarbeit zwischen CIO und CISO profitieren, gelten für die beiden Rollen weiterhin getrennte Prioritäten und Verantwortlichkeiten. Das macht die Kommunikation zwischen beiden noch wichtiger. Springmann und Miller beispielsweise treffen sich regelmäßig alle zwei Wochen und tauschen sich fast täglich per Textnachrichten oder Telefon aus.

„Ein großer Teil [unserer Partnerschaft] dreht sich um Kommunikation und persönliche Beziehungen, und wenn man sich nicht um diese beiden Dinge kümmert, kann etliches schiefgehen“, weiß Mark Settle, ehemaliger CIO und Autor von Truth from the Valley. „Menschen, die gut kommunizieren und die Probleme und Bedürfnisse anderer vorhersehen können, können die meisten Reibereien, die zwischen zwei Gruppen entstehen können, vermeiden.“

Eine engere Zusammenarbeit zwischen Chief Information Officer und Chief Information Security Officer ist für Unternehmen, die technologische Innovationen beschleunigen und gleichzeitig Sicherheitsrisiken reduzieren wollen, unerlässlich. Die Aufhebung der strikten Abgrenzung dieser Rollen kann zwar schwierig sein, aber mit gemeinsamen Zielen, einer guten Kommunikation und Unterstützung durch die Organisation können CIOs und CISOs dazu beitragen, dass ihre Unternehmen die digitale Transformation sicher bewältigen.