Ebenso wie sich die Digitalisierung in großen Schritten entwickelt, wachsen infolge der immer komplexeren Vernetzungen auch die Cyber-Gefahren. Jedes dritte Unternehmen soll bereits von Datendiebstählen betroffen sein, es herrscht bei Mitarbeitern nur ein begrenztes Bewusstsein für die Security-Risiken und täglich werden neue Meldungen zu Sicherheitsvorfällen in einem teilweise sehr komplexen Umfang bekannt. Gleichzeitig steigen infolge der wachsenden Digitalisierung die Abhängigkeiten von einer sicheren technischen Infrastruktur rasant.
Doch die Chief Information Security Officer (CISO) bzw. IT-Sicherheitsverantwortlichen, die für ein intelligentes und wirkungsvolles Sicherheitsmanagement sorgen sollen, erlangen trotz der überproportional gestiegenen Verantwortung in vielen Unternehmen keine adäquate Bedeutung. So wird diese Aufgabe häufig zusätzlich von der IT-Leitung übernommen.
Ein solches Modell hat jedoch ganz entscheidende Nachteile. So können die immer umfangreicheren Aufgaben eines CISOs nicht neben dem Management der gesamten IT ausreichend bewältigt werden, da die unzureichenden Ressourcen zwangsläufig zulasten der vielfältigen sicherheitsrelevanten Steuerungs- und proaktiven Schutzaufgaben gehen würden. In einer Doppelfunktion untergebracht, genießt das Risikomanagement zudem auch keine angemessene Bedeutung. Die Konsequenz lautet: Das Bewusstsein für die Erfordernisse einer Risikovorsorge ist zwar grundsätzlich deutlich gestiegen, in den Verantwortungs- und Organisationsstrukturen der Firmen hat sich jedoch erst wenig geändert.
Angesichts der steigenden digitalen Gefahren und ihrer massiven Auswirkungen auf die Geschäftstätigkeit von Unternehmen gibt es im Markt inzwischen auch Empfehlungen, die CISOs als eigenständige Funktion, also ähnlich wie die CIOs, unterhalb der Geschäftsleitung zu definieren. Dies wäre ein klares Bekenntnis im Hinblick auf die strategische Relevanz des IT-Sicherheitsmanagements für das Unternehmen, gleichzeitig würden damit die Aufgaben der CISOs aufgewertet.