Unternehmen benötigen Führung und Prozesse, um ihre digitale Transformation durch geeignete Sicherheitsmaßnahmen professionell zu begleiten. Dieses Aufgabenfeld wird zunehmend an der Position des Chief Information Security Officers (CISO) festgemacht. Der CISO soll Informationsrisiken identifizieren, kommunizieren und managen. Letzteres Handlungsfeld geht über den reinen technischen Bereich hinaus und erstreckt sich bis in die Rechtsabteilung und die Führungsebene.
Eine direkte Berichtslinie zum Vorstand bedeutet aber per se noch nicht, dass IT-Sicherheit tatsächlich die erforderliche Priorität im Unternehmen besitzt. Jedes Unternehmen muss für sich selbst eine Form der Unternehmensorganisation finden, in der die Einwände des Verantwortlichen für IT- und Informationssicherheit in den vorhandenen Strukturen ausreichend weiterverarbeitet werden können. Die konkrete Ausgestaltung der Governance-Strukturen wird auch das Ergebnis einer Risikoanalyse des kompletten Unternehmens sein müssen. Grundsätzlich wird eine enge Zusammenarbeit mit dem CEO in Fragen der IT-Sicherheit ein guter Weg sein. Auch die Berichtslinie CISO – Chief Compliance Officer (CCO) – CEO kann ein Gleichgewicht zwischen dem CIO, der den digitalen Wandel maßgeblich vorantreibt, und dem CISO, der in IT-Sicherheitsfragen Vorsicht walten lässt, schaffen.