CISOs sollten in ihren Groups eine Kind der „Fuck Up-Night time“ etablieren. Niemand ist perfekt und Fehler, insbesondere in Stresssituationen, passieren. Deshalb ist es wichtig, dass Führungskräfte ihren Groups den Rücken freihalten und den Druck aus allen Himmelsrichtungen abfedern, sei es aus der Geschäftsführung, einzelner Abteilungen oder aber von außen wie Dienstleistern oder Kunden. Eine solche Kultur darf aber auch nicht in Silos operieren. Sie sollte es möglich machen, dass die Ergebnisse aus regelmäßigen Schulungen und Erfahrungswerten aus Sicherheitsvorfällen offen im Dialog miteinander diskutiert werden können. Werden die gewonnenen Erkenntnisse in das eigene Doing überführt, entsteht eine belastbare Fehlerkultur, bei der sich der CISO im Ernstfall auf sein Group, aber auch das Group auf seinen CISO verlassen kann.
Fazit
CISOs sollten danach streben, den Zustand einer operationellen Resilienz zu erreichen. Dabei hilft ihnen die technologische Resilienz über eine integrierte, adaptive Plattform. Sie vereinen dann Sichtbarkeit, Reaktionsfähigkeit, Prävention und Automatisierung, ohne einen Vendor Lock-In zu forcieren. Zusätzlich unterstützt dieser Ansatz CISOs durch einen Investitionsschutz, weil eine solche Plattform Entwicklungspotentiale für künftige Migrationswünsche bietet.
Schaffen CISOs die beschriebenen Voraussetzungen auf technologischer, organisatorischer und kultureller Ebene, erreichen sie die operationelle Resilienz und können diese in die Unternehmensstrategie verankern. Ihre Organisationen profitieren im Krisenfall von belastbaren Strukturen, die nach außen und innen widerstandsfähig sind. (jm)
