Die Informationssicherheit muss durchgehend auch in Deutschland ganzheitlich und als Governance-Aufgabe verstanden werden. Es wird leider immer noch in vielen Unternehmen das Thema auf die „IT-Security“ reduziert. Das ist jedoch gänzlich falsch. „Information Security“ besitzt die Richtlinienkompetenz und somit muss unabhängig von der IT, Vorgaben definieren und die Einhaltung dieser z.B. anhand von Audits kontrollieren und sicherstellen. Dies trifft nicht nur auf die IT zu, sondern je nach Branche und Unternehmensstruktur auch auf die Produktion, Produktentwicklung, Einkauf, Facility Management, HR und weitere Unternehmensbereiche. Der Aufgabenspektrum des CISO ist viel breiter als der des CIO. Interessenkonflikte müssen vermieden werden und es spielt für die Sicherheit des Unternehmens keine Rolle, ob ein Angreifer das eigene Unternehmen oder Partnerunternehmen durch die internen IT- oder OT-Systeme, durch ein Partnerportal, eine Partner-EDV-Umgebung oder physisch bedroht – der Sicherheitsansatz muss ganzheitlich sein. Somit betrifft die Sicherheit auch alle Mitarbeitende und alle Partner eines Unternehmens. Um dies immer präsent zu halten, pflegen wir zwei Slogans bei GEA – „Security is my Business. And yours.“ sowie „You are our first line of defense“.