Herausforderungen
Wann Sie Cybersicherheitsführung brauchen
Die Funktion des CISO ist für Unternehmen in regulierten Schweizer Branchen längst keine Option mehr. Von der FINMA regulierten Finanzinstituten wird erwartet, dass sie eine klare Verantwortlichkeit der Geschäftsleitung für die Informationssicherheit nachweisen können. Unternehmen, die dem revidierten Datenschutzgesetz unterstehen, Gesundheitsdienstleister und Betreiber kritischer Infrastrukturen stehen zunehmend unter dem Druck, gegenüber Prüfern, Versicherern und Geschäftskunden ein geführtes und dokumentiertes Sicherheitsprogramm vorzulegen.
Die häufigsten Situationen, die ein „CISO as a Service“-Mandat auslösen:
- kein ernannter CISO oder keine verantwortliche Person für die Sicherheitsstrategie auf Geschäftsleitungsebene,
- ein Sicherheitsvorfall, der das Fehlen eines formalen Risikomanagementprogramms offengelegt hat,
- regulatorischer Druck durch eine FINMA-Prüfung, einen Sicherheitsfragebogen eines Kunden oder eine vertragliche Anforderung im Rahmen von ISO 27001,
- eine Vollzeitstelle für einen CISO, die bei der aktuellen Unternehmensgröße wirtschaftlich nicht zu rechtfertigen ist,
- ein Wechsel auf der Position des CISO, der eine interimistische Besetzung während der Rekrutierungsphase erforderlich macht,
- ein Verwaltungsrat oder eine Geschäftsleitung, die ein strukturiertes Reporting zu Cybersicherheitsrisiken benötigt, dieses aber aktuell nicht erstellen kann.
Dienstleistungen
Drei Einsatzmodelle für jeden organisatorischen Kontext
Vollzeit-CISO
Eine engagierte Sicherheitsführungsperson, vollständig in Ihre Organisation eingebunden, mit der durchgängigen Verantwortung für das Informationssicherheitsprogramm. Geeignet für Unternehmen mit hoher regulatorischer Exponierung, komplexen Umgebungen mit mehreren Standorten oder ambitionierten Zielen für den Sicherheitsreifegrad.
Interim CISO
Eine erfahrene Besetzung zur Stabilisierung der Governance während einer kritischen Übergangsphase, etwa nach einem Sicherheitsvorfall, dem Abgang einer Führungsperson, einer Transaktion im Rahmen von Fusionen und Übernahmen oder einer aufsichtsrechtlichen Massnahme. Die typische Dauer liegt zwischen drei und zwölf Monaten.
Virtual CISO (vCISO)
Teilzeit-Strategieberatung auf monatlicher Mandatsbasis. Der vCISO übernimmt die Sicherheitsausrichtung, das Reporting an die Stakeholder, die Aufsicht über Richtlinien und das Risikomanagement, ohne dass eine durchgehende Präsenz erforderlich ist. Dies ist das wirtschaftlichste Modell für KMU und Organisationen in einem frühen Stadium der Governance-Reife.
Leistungen
Ein CISO-as-a-Service-Mandat umfasst
Sicherheitsstrategie und -ausrichtung
Aufbau des Fahrplans für das Cybersicherheits-Risikomanagementprogramm, die Governance-Frameworks sowie der operativen Prozesse und Kontrollen, abgestimmt auf Ihre Geschäftsziele und die relevante Bedrohungslage.
Priorisierung von Sicherheitsinvestitionen
Bewertung und Priorisierung von Sicherheitsinvestitionen und technologischen Entscheidungen anhand der Unternehmensstrategie und der dokumentierten Risikotoleranz. Sicherheitsausgaben werden mit begründetem Geschäftsrisiko verknüpft und nicht mit Markttrends.
Bedrohungsbasiertes Risikomanagement
Schutz der Unternehmenswerte durch ein klares Verständnis der für Ihre Branche relevanten, aktiven Bedrohungslage. Die Geschäftsleitung wird über Cybersicherheitsrisiken informiert und es wird ein abgestimmter Plan erstellt, um das Risiko auf ein akzeptables Niveau zu reduzieren.
Sicherheits-GAP-Analyse
Identifikation der aktuellen Sicherheitslücken und Festlegung des Schutzbedarfs. Geschäftsziele werden durch eine strukturierte Beurteilung mit Cybersicherheitsmaßnahmen abgeglichen, was zu konkreten, priorisierten Ergebnissen führt.
Reporting für Stakeholder
Die technische Sicherheitslage wird in eine für Verwaltungsrat, Geschäftsleitung und Prüfungsausschuss verständliche Risikosprache übersetzt. Dies ermöglicht fundierte Entscheidungen zur Risikoakzeptanz auf der jeweils richtigen Organisationsebene.
Ergebnisse
Lieferergebnisse jedes Mandats
- Risikoanalyse und dokumentiertes Risikoregister,
- Sicherheitsstrategie und Fahrplan,
- Dokumentation des Bedrohungsmodells,
- Richtlinien, Verfahren und operative Prozesse,
- Bericht zur Reifegrad- und GAP-Beurteilung mit priorisierten Feststellungen.
Erfahrene Experten mit operativer Praxis
Jedes CISO-as-a-Service-Mandat wird von Beraterinnen und Beratern mit mindestens zehn Jahren Erfahrung in Governance geleitet, die über die CISSP-Zertifizierung verfügen und strategische Beratungserfahrung mit operativer Sicherheitspraxis kombinieren. Das Team betreut Unternehmen aus den Branchen Finanzdienstleistung, Gesundheitswesen, Industrie und kritische Infrastruktur in der Romandie und in der Deutschschweiz.
Aus einem aktuellen Mandat
Ein Finanzdienstleistungsunternehmen mit Sitz in Genf hat uns mit einem zwölfmonatigen CISO-Mandat beauftragt. Das Unternehmen musste rasch seine Cyberrisiken identifizieren, einen Fahrplan für kurze, mittlere und lange Zeithorizonte erstellen, formale Sicherheitsrichtlinien ausarbeiten, das Bewusstsein der Mitarbeitenden schärfen und Maßnahmen umsetzen, die auf den spezifischen Geschäftskontext abgestimmt sind. Am Ende des Mandats lag ein dokumentiertes Sicherheitsframework vor. Die Sicherheitsanforderungen waren formalisiert, validiert und im Unternehmen kommuniziert. Für jeden Zeithorizont waren strukturierte Ziele definiert und die Cyberrisiken waren erfasst, registriert und wurden aktiv überwa
Nächster Schritt
Besprechen Sie Ihren Führungsbedarf
Egal, ob Sie innerhalb von vier Wochen einen Virtual CISO benötigen oder eine interimistische Besetzung für eine kritische Übergangsphase – wir sind bereit, Ihren Bedarf zu beurteilen und die passende Einsatzstruktur vorzuschlagen.