62. CIO-Erfahrungsaustausch: CISO Praxisbericht; Levers of Control und Security Update

Der CIO Erfahrungsaustausch von VOICE stand am 29.09 fast ausschließlich im Zeichen der Security. Die Ausnahme bildete das WissensNugget von Professor Christopher Rentrop von der Hochschule Konstanz. Er erklĂ€rte das von Robert Simons entwickelte Framework „Levers of Control“.

Vier Hebel fĂŒr die Strategie-Umsetzung

Nach Simons (1995) hat das Management vier Hebel zur Umsetzung der Unternehmensstrategie, die jeweils durch spezifische FĂŒhrungs- und Steuerungssysteme reprĂ€sentiert sind. Diese sind das diagnostische Steuerungssystem (Diagnostic-Control-System), das interaktive Steuerungssystem (Interactive-Control-System), das Abgrenzungssystem (Boundary-System) und das Wertesystem (Belief-System). Rentrop warnte davor, bei der EinfĂŒhrung von Governance-Systemen gleich welcher Art Short Cuts zu nehmen. Die EinfĂŒhrung derartige Systeme brauche genauso seine Zeit, wie sie mit Leben zu fĂŒllen.

In Sachen Sicherheit machten wie immer im CIO-Erfahrungsaustausch VOICE-Security-Spezialist Dirk Ockel und Peter Vahrenhorst vom LKA NRW den Anfang.  Ockel berichtete von SicherheitsvorfĂ€llen bei United Health Centers und von SicherheitslĂŒcken in den Google- Microsoft-Browsern sowie Schwachstellen im Virenscanner von Trend Micro und erneuten kritischen Schwachstellen in VMWare. Vahrenhorst erwĂ€hnte zwei Ransomware-Angriffe auf RĂŒstungsunternehmen in NRW.

Security von Evonik vorgestellt

Last, but not Least stellte Manuel Scholz, CISO des Spezialchemie-Anbieters Evonik die aktuelle Security-Strategie des Unternehmens vor. Evoniks Security-Tema berĂŒcksichtigt in seinen Sicherheitsprogrammen – nicht nur im aktuellen – die Weiterentwicklung der Bedrohungslandschaft, den VerĂ€nderungen in der IT Technologie, den Wandel der IT-Strategie und natĂŒrlich der effizienten Zuordnung von Ressourcen. Im aktuellen Programm sollen alle existierenden Sicherheitsmaßnahmen ĂŒberprĂŒft und wo nötig aktualisiert werden. Es geht wenig ĂŒberraschenderweise um erweiterten und gestĂ€rkten Schutz. Dabei spielt auch die Abwehr von Spionage eine wichtige Rolle.

Insgesamt orientiert sich  Evonik sich dabei an der weltweit verfĂŒgbaren Wissensbasis  MITRE ATT&CK, in der sehr viele tatsĂ€chlich genutzte Angriffstaktiken und -technologien verzeichnet und erklĂ€rt sind. VerstĂ€ndlicherweise bat Herr Scholz darum, seine AusfĂŒhrungen im Kreis des CIO-Erfahrungsaustausches zu belassen und keine Details nach Außen zu tragen. Daran halten wir uns natĂŒrlich…

Der nÀchste CIO-Erfahrungsaustausch findet am kommenden Mittwoch, den 06.10.2021 wie immer um 18.00 Uhr statt. Dabei steht ein Impulsvortrag zum Thema Outsourcing im Mittelpunkt. Wenn Sie am VOICE CIO-Erfahrungsaustausch teilnehmen möchten, aber noch kein VOICE-Mitglied sind, melden Sie sich einfach beim VOICE-Kollegen Grischa Thoms (grischa.thoms@voice-ev.org.)

Lesen Sie mehr zum Thema

CIO-Erfahrungsaustausch: AufsichtsrÀte haben zu wenig Digitalkompetenz

VOICE-FrĂŒhstĂŒcksgesprĂ€ch IT-Produktorganisation: Zusammenarbeit schlĂ€gt Struktur

76. CIO-Erfahrungsaustausch mit Security-Update, Cloud-Lizenzverhalten der großen Anbieter und Neuigkeiten aus dem BSI