Für CISOs ist der Bereich vor allem deshalb so wichtig, weil die allermeisten modernen, physischen Sicherheitssysteme respektive -kontrollen auf irgendeine Art und Weise mit der IT verknüpft sind – von Badges und Keycards bis hin zur Videoüberwachung. Kommt es zu einem unberechtigten (physischen) Zugriff, können daraus in der Folge zudem auch Cyberangriffe und Data Breaches erwachsen. Es sollte deshalb im Interesse eines jeden Sicherheitsentscheiders liegen, entsprechende Vorkehrungen zu treffen, um den Zugriff auf diese Assets zu kontrollieren.
Das soll (und kann) nicht heißen, CISOs mit sämtlichen Tasks physischer Security zu betrauen. Zwar funktioniert es im Fall einiger kleinerer Unternehmen, die Rolle des CISO und des CSO zusammenzulegen – für viele große Unternehmen ist das jedoch keine Option, wie Max Shier, CISO beim Cyberrisk-Spezialisten Optiv, erklärt: “Wenn behördliche Auflagen bestehen oder es um größere Unternehmen geht, ergibt es unter Umständen keinen Sinn, die Bereiche Cybersecurity und physische Sicherheit zusammenzulegen. Die resultierenden Verantwortlichkeiten – etwa, sich um einen Wachdienst für Produktionsanlagen oder Bodyguards für Führungskräfte zu kümmern -, könnten Cybersecurity-Teams je nach Auslastung und Kapazität schnell überfordern.”
Sollte diese Option auch für Sie entfallen, weiß Howard Taylor, CISO beim Security-Dienstleister Radware, was zu tun ist: “Dann ist die Kommunikation und Koordination mit den physischen Sicherheitsteams für CISOs entscheidend, um ihre Ziele zu erreichen. Diese sollten in die Planungsprozesse für Business Continuity, Disaster Recovery sowie physische Anlagen und Einrichtungen einbezogen werden. Zusätzlich muss auch sichergestellt sein, dass die resultierenden, physischen Maßnahmen aus rechtlicher Sicht einwandfrei sind – etwa, dass Aufnahmen von Überwachungskameras keine Datenschutzregularien verletzen.”