Wir sprechen mit Nikola Dinic, Chief Information Security Officer von CONVOTIS, über die Rolle von Cybersecurity in einem modernen Unternehmen.

Wir sprechen mit Nikola Dinic, Chief Information Security Officer von CONVOTIS, über die Rolle von Cybersecurity in einem modernen Unternehmen.

 

Lieber Nikola, CONVOTIS hat mit Dir einen ausgewiesenen Fachmann als CISO im Einsatz. Zu Beginn wollen wir Dich gerne unseren Lesern vorstellen.

Nach dem Bachelor-Studium (BWL) an der WU Wien und Spezialisierung in Management Information Systems hat mich mein Weg nach Irland sowie Norwegen für Austauschsemester geführt. Meinen Master habe ich in International Management abgeschlossen und meine Masterarbeit zum Thema „Cloud Computing“ verfasst.

Meine Laufbahn begann kurz nach dem Studienabschluss bei Big4-Unternehmen in Wien, wo ich 7 Jahre lang vor allem internationale, aber auch einheimische Kunden in den Bereichen IT-Compliance, Cyber Security sowie IT-Governance als Manager unterstützt habe. Das letzte Jahr habe ich in Zürich bei dem ältesten und renommierten Schweizer Lebensversicherer verbracht, wo ich hauptsächlich in der IT-Risk Assurance sowie IT-Security auf Gruppenebene tätig war.

Musik gehört zu meinen wichtigsten Hobbys, ich versuche so oft wie möglich mit meiner Band zu proben. Als ehemaliger Fußballspieler, bin ich auch sportlich viel unterwegs.

 

In unseren Newslettern setzen wir laufend Schwerpunkte zum Thema Security. Lass uns zu Beginn über die Rolle von Cybersecurity in einem modernen Unternehmen sprechen?

Cybersecurity hat in modernen Unternehmen einen langen Weg von der ausschließlich technischen bzw. unterstützenden Rolle bis hin zu einer holistischen, integrativen und multidimensionalen Disziplin gemacht, die mittlerweile als Enabler aber gleichzeitig auch ein kritischer Baustein der Geschäftsziele ist.

Dazu hat vor allem die massive Verbreitung der Internet-Dienste sowie damit verbundenen Digitalisierung bzw. Automatisierung der Inhalte und Vermarktungsprozesse beigetragen. Dieses exponentielle und blitzschnelle Wachstum in Komplexität und Volumen der Prozesse sowie unterstützender Technologien, ist heutzutage zu einer Normalität geworden, die Cybersecurity-Spezialisten aber auch C-Suites weltweit in den kommenden Jahren beschäftigen wird.

 

Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?

Neben dem klassischen Ansatz und Unterteilung der Cybersecurity-Aktivitäten in Governance, Risk & Compliance (kurz GRC) sowie Incident Response, hat sich meiner Meinung nach, in den letzten Jahren der holistische Ansatz sowie die kontinuierlich überprüfte Widerstandsfähigkeit als unerlässlich bewiesen. Und das nicht nur auf der Ebene der mittlerweile mächtigen Security-Tools, sondern vor allem der Integration von Cybersecurity in alle relevanten Geschäftsabläufe sowie Produktsourcing/Lifecycle unabhängig von der Branche, vorhandener Infrastruktur oder Prozessreifegrad.
Ein weiterer Aspekt, der scheint wichtiger denn je zu sein, ist der Faktor Mensch: beste Security-Strategien sowie Regelwerke scheitern oft an grundlegenden Lücken im Bewusstsein der Mitarbeiter, was wiederum zu einigen der größten Breaches in den letzten Jahren geführt haben.

Die bedauerliche Wahrheit ist ebenso, dass viele Unternehmen in diesem aber auch in den kommenden Jahren wahrscheinlich weiterhin zunehmenden Bedrohungen ausgesetzt sein werden, da Cyberkriminelle immer kreativer und raffinierter werden. Die einzige Möglichkeit, diese Bedrohungen zu bekämpfen, besteht darin, ihnen mit der gleichen Kreativität, Raffinesse und vor allem mit Widerstandsfähigkeit zu begegnen. Diese wird oft als „resilience by design“ gebrandet, allerdings ist das zugrunde liegende Konzept entscheidend – Unternehmen müssen proaktiv anstatt reaktiv agieren, um Cyber-Gefahren gerecht zu werden. Das beinhaltet vor allem Voraussehen von Störungen mit einem umfassenden Verständnis aktueller und neu entstehender Risiken, Vereinfachung der Cyber Security-Prozesse, Vorbereitung der konkreten Reaktionsmaßnahmen für relevante Angriffsszenarien sowie nicht Vernachlässigung der Lessons Learned nach jedem kritischen Event bzw. Angriffsversuch.

Eine ganzheitliche Cybersecurity-Betrachtung beruht aber auch auf dem Konzept „Security by Design“ – das im zukünftigen Convotis-Portfolio sehr erfolgreich angeboten und von Kunden wahrgenommen wird. Die zugrunde liegende Idee beinhaltet Integration der wichtigen Sicherheitstaktiken/-pfade sowie Lösungen zur Durchsetzung der erforderlichen Anforderungen an Authentifizierung, Autorisierung, Vertraulichkeit, Datenintegrität, Datenschutz, Rechenschaftspflicht, Verfügbarkeit, Sicherheit und Nicht-Abstreitbarkeit (selbst wenn das System angegriffen wird) und zwar schon in der Systemdesign- bzw. Entwicklungsphase.