GlobalSign Blog

19 Jan 2018

Die 7 Qualitäten eines großartigen CISO

Ein großartiger Chief Information and Security Officer oder CISO ist eine sehr begehrte Person. Dies liegt wahrscheinlich daran, dass die Rolle starke technische Fähigkeiten mit großartigem Management und großartiger Persönlichkeit verbindet. Jemand mit solchen Allround-Fähigkeiten zu finden, der auch in die Unternehmenskultur passt, ist wie das Finden einer Nadel im Heuhaufen. Diese schwer zu besetzende Stelle macht es für Unternehmen, die die Rolle in Chief Information Officer (CIO) und Chief Security Officer (CSO) aufgeteilt haben, noch schwieriger. Jetzt braucht man zwei großartige Leute.

Nach der Equifax-Datenschutzverletzung erfuhr der CISO von Equifax, dafür dass er einen musikalischen Hintergrund hatte, eine Menge negativer Reaktionen. Aber aus den Reaktionen in der infosec-Community geht eindeutig hervor, dass ein wirklich großartiger CISO keinen Abschluss in Cybersicherheit haben muss. Er muss einfach nur seine Materie beherrschen. Und wenn er seine Materie beherrscht und eine starke Führungskraft ist, kann er die Gefahr einer Datenschutzverletzung um das Zehnfache reduzieren.

Was macht also einen großartigen CISO aus? Egal, ob Sie die Frage stellen, weil Sie selbst der beste CISO sein wollen oder weil Sie die besten Mitarbeiter einstellen möchten, ist niemand besser in der Lage, uns die Antwort zu geben, als die Experten für Cybersicherheit selbst. Ich konnte diesen Blog nicht alleine schreiben. Ich muss also den IT-Sicherheitsexperten danken, die uns bei der Definition der Top-7-Merkmale eines CISO geholfen haben.

Seien Sie freundlich und zugänglich

Ein CISO muss genau zuhören können und bereit sein, mit jedem auf freundliche, zugängliche Weise zu sprechen. Die Fähigkeit, risikobasierte geschäftsorientierte Entscheidungen zu treffen und diese auszuführen, ist ebenfalls wichtig.

Christos Syngelakis, Motor Oil Hellas - Griechenland

Ein CISO zu sein ist ein stressiger Job, aber er kann viel stressiger sein, wenn man kein Feedback oder keine Mitteilungen von Kollegen bekommt. Freundlich und zugänglich zu sein, bedeutet, dumme Fragen zu erhalten. Aber es bedeutet auch, dass Menschen, wenn etwas Großes passiert, keine Angst haben, sich schnell an ihren CISO zu wenden.

Freundlich und zugänglich zu sein, geht auch damit einher, ein guter Zuhörer zu sein. Ein Teil des Jobs eines CISOs besteht darin, Kollegen und Vorgesetzten genau zuzuhören, ihre Bedürfnisse und Projekte zu verstehen und Entscheidungen zu treffen, die Risiken und Auswirkungen für das Unternehmen minimieren. Wir werden noch einmal über freundlich und ansprechbar sein sprechen, da ich glaube, dass dies Hand in Hand mit anderen wichtigen CISO-Qualitäten geht.

Seien Sie in der Lage, eine Sprache zu sprechen, die die Vorstandsetage versteht

Ein großartiger CISO kämpft mit Leib und Seele den täglichen Kampf gegen Angreifer von allen Seiten. Sie/er stellt die Besten und Klügsten ein und gibt ihnen die Werkzeuge, die sie für ihre Arbeit brauchen. Sie/er kommuniziert regelmäßig mit dem Vorstand und liefert verwertbare Kennzahlen. Sie/er beschönigt nie etwas.

Richard Stiennon, Blancco Technology Group - USA

Ein Teil des Jobs eines CISOs besteht darin, direkt mit der Vorstandsetage zu kommunizieren. Dazu gehört Berichterstattung über Fortschritte, Betteln um Gelder, um noch mehr Fortschritte zu erzielen, dafür zu sorgen, dass die Datensicherheitsziele des Unternehmens eingehalten werden und erklären zu können warum, wenn dies nicht der Fall ist. Unglücklicherweise für die CISOs sprechen die Vorstände in der Regel nicht "infosec". Ihr Job besteht also auch darin, ihre Bedürfnisse, Ziele und Berichte in verdauliche Häppchen zu übersetzen, die ein Vorstand vollständig verstehen kann.

Durch die Kombination dieser Fähigkeit mit der vorherigen Fähigkeit, freundlich und zugänglich zu sein, können CISOs ihre Fähigkeiten nutzen, um gute Beziehungen zum Vorstand aufzubauen. Mit der Zeit kann sich ihre Beziehung zum Vorstand zu einer ehrlicheren, offeneren und freimütigeren Beziehung entwickeln. Der Vorstand wird lernen, den Strategien, Anregungen und Forderungen des CISO mehr Vertrauen zu schenken. Aber das geschieht nicht über Nacht. Ein CISO muss die richtige Persönlichkeit haben, mit der er dieses Vertrauen im Laufe der Zeit aufbauen kann.

Seien Sie in der Lage, Sicherheit mit Geschäftszielen in Einklang zu bringen

Ein großartiger CISO versteht, dass seine Rolle nicht darin besteht, das Unternehmen zu kontrollieren, sondern es ihm zu ermöglichen, das, was es tun muss, hinreichend sicher zu tun. Großartige CISOs stimmen ihre Programme mit den Missionswerten und dem Zweck des größeren Unternehmens ab und verstehen, wie sie mit Geschäftsführern in einer Weise kommunizieren können, die kulturbewusst ist, und es diesen Führungskräften ermöglicht, effektive Entscheidungen zu treffen. Großartige CISOs stellen großartige Leute ein und vertrauen darauf, dass sie ihre Arbeit machen, während der CISO seine eigene Arbeit macht.

Martin Fisher, Northside Hospital - USA

Ein wichtiger Aspekt eines CISO ist es, sich daran zu erinnern, dass er, wenn er es wirklich will, einen Super-Tresor schaffen kann, der unzerbrechlich und nicht-hackbar ist, aus dem keine Daten entkommen können. Aber dieser Tresor wird es dem Unternehmen wahrscheinlich erschweren, Geld zu verdienen. Schließlich müssen für ein Unternehmen Daten fließen. Für einen großartiger CISO ist es immer ein Balanceakt zwischen dem, was gut für die Sicherheit und dem, was gut für das Unternehmen ist.

Einem Unternehmen geht es in erster Linie darum, Wohlstand durch seine Produkte und Dienste zu schaffen. Wenn ein CISO nicht in der Lage ist, das Gesamtbild zu sehen, und seine Ziele an den allgemeinen Geschäftszielen und -missionen auszurichten, ist er zum Scheitern verurteilt. Hier spielt Kultur eine große Rolle, wenn Prozesse verändert werden müssen. Zu wem geht der CISO? Wer wird betroffen sein? Menschen müssen Teil dieses Entscheidungsprozesses sein, und das verlangt, dass er zugänglich und freundlich ist - da haben wir es wieder. Eine Kultur der Veränderung zu schaffen, ist nicht einfach und erfordert viel von dieser nächsten Qualität.

Geduld

Ein großartiger CISO ist ein Meister des Social Engineering. Alles in einem Unternehmen zu verändern, von der Risikotoleranz und Sicherheitskultur bis hin zu deren Prozessen und Code, erfordert jahrelange Geduld und List. Es ist kein Job für schwache Nerven.

Wendy Nather, Duo Security - USA

Freundlich und zugänglich zu sein, hat scheinbar Auswirkungen auf alle Qualitäten eines großartigen CISO. Das nennt Wendy Nather von Duo Security ein "Meister des Social Engineerings" zu sein. Ein großartiger CISO muss wissen, wie alle Teile des Puzzles zusammenpassen, und er muss neue Wege finden, sie dazu zu bringen, zusammenzupassen, aber auch die geringsten Auswirkungen auf die Jobs aller Mitarbeiter haben.

Aber vor allem muss er verstehen, dass Veränderung in einem Unternehmen nicht über Nacht geschieht. Es dauert viele Jahre, um eine Unternehmenskultur sichtbar und nachhaltig zu verändern. Er muss stark sein und am Ball bleiben, denn wenn der Anführer der Veränderung aufgibt, wird der Rest es auch.

Rekrutierung und Talent-Management

Ein großartiger CISO hat ein umfassendes Verständnis davon, wie sein Umfeld funktioniert. Er hat die geeigneten IT-Mitarbeiter ausgewählt, um ein Höchstmaß an Schutz zu gewährleisten und Projekte nach dem Motto 'Sicherheit zuerst' abzuarbeiten. Sicherheit sollte seine oberste Priorität sein.

Dylan Kavanagh, Bank of Ireland - UK

Da die Verantwortlichkeiten eines CISO einen großen Bereich abdecken, hat er wahrscheinlich eine Million Dinge gleichzeitig zu bedenken. Hier werden Vertrauen in und Delegation an ein Team wichtig. Ein großartiger CISO hat keine Angst davor, mehr technisch Talentierte einzustellen. Er füllt sein Team mit großen Denkern auf, die ergebnisorientiert sind, und mit einem guten Management dieser Leute werden sich die Puzzleteile zusammenfügen.

Freundlich und ansprechbar zu sein ist auch hier wichtig. Er ist ein Chef. Seine Mitarbeiter müssen sich auf ihn verlassen können, ihn mögen und für ihn arbeiten wollen. Er muss seine Team- und Arbeitsplatzstruktur zu etwas machen, das sich mit Unternehmen in seinem Umfeld behaupten kann, da Talente für Cybersicherheit schwer zu finden sind. Die wirklich Talentierten haben genug Optionen. Ein großartiger CISO muss ihnen einen Arbeitsplatz geben, den sie nicht mehr verlassen wollen und für den sie bereit sind, ihn Freunden und ehemaligen Kollegen zu empfehlen sich auf eine mögliche freie Stelle zu bewerben.

Risikobewusstsein

Ein großartiger CISO ist risikobewusst, sieht die Ausrichtung der Branche und hat die Fähigkeit, dies einfach und sicher in Unternehmensauswirkungen und -anforderungen zu übersetzen.

Andy Martin, Standard Life Aberdeen - UK

Wenn der Chief Marketing Officer ein neues Tool implementieren möchte, das Tausende einsparen und die Effizienz verbessern wird, könnte ein großartiger CISO eine Analyse des Tools vornehmen, um zu sehen, wie es in die aktuelle Infrastruktur passt. Ist der Datenfluss sinnvoll? Ist das Tool sicher? Ist der Drittanbieter sicher? Sind ihre Datenpraktiken konform? Ein großartiger CISO ist ständig auf der Suche nach Löchern und arbeitet an Möglichkeiten, sie zu stopfen.

Ein wirklich großartiger CISO denkt immer an Geschäftsrisiken und priorisiert sie. Wo liegen die größten Risiken für Datenschutzverletzungen, -verlust oder -diebstahl im Unternehmen und wie wird das Unternehmen die Auswirkungen minimieren, wenn in einem dieser Bereiche etwas passiert?

Organisation

Ein großartiger CISO kann geeignete Vermögenswerte bewerten und priorisieren, die geschützt werden müssen. Verstehen und priorisieren Sie die Risiken für diese Vermögenswerte. Übertragen Sie diese Risiken so, dass Vorstände erforderliche Budgets zuweisen können. Identifizieren und implementieren Sie geeignete Kontrollen zum Schutz dieser Vermögenswerte. Seien Sie in der Lage, sich auf Vorfälle angemessen vorzubereiten und darauf zu reagieren. Die Angemessenheit kann in allen Fällen von Unternehmen zu Unternehmen variieren.

Sarb Sembhi, Virtually Informed - UK

Es gibt viel zu tun in der Welt eines CISO. So viel, dass es schwierig sein kann, einen logischen Weg zu finden, um alles rechtzeitig, effizient und produktiv zu erledigen. Das macht Organisation zu einer ziemlich wichtigen Eigenschaft eines großartigen CISO. Für die meisten CISOs sind das Jonglieren mehrerer Meetings, das Managen eines Teams, das Priorisieren von Gefahren, das Abstimmen von Unternehmenszielen, das Auditing und das Verhindern eines Datenverlusts nur einige der Elemente, die jongliert werden müssen.

Wie bei jeder höheren Rolle gibt es eine Reihe von logischen Schritten, die ein großartiger CISO beim Start in der Rolle machen kann. Sarb Sembhi stellt dies in seinen Tipps gut dar.

  1. Beurteilen und priorisieren Sie Vermögenswerte, die geschützt werden müssen - beginnen Sie mit einer Dateninventur. Verstehen Sie, wie jede Abteilung arbeitet. Nutzen Sie die notwendigen Tools und kommunizieren Sie sowohl intern als auch extern. Was sind die größten Gefahren? Wo müssen die größten Veränderungen vorgenommen werden?
  2. Übermitteln Sie die Risiken an den Vorstand - Sie haben eine gründliche Analyse durchgeführt und verfügen über alle notwendigen Daten, um zu zeigen, wo das Unternehmen am meisten gefährdet ist. Aber wie übersetzt ein CISO das in Vorstandssprache? Finden Sie einen Weg, um zu zeigen, wie die vorgeschlagenen Änderungen die dabei anfallenden Kosten rechtfertigen und noch besser, mehr Effizienz, Produktivität und damit mehr Einnahmen für das Unternehmen schaffen.
  3. Implementieren Sie geeignete Kontrollen - arbeiten Sie mit einem talentierten Team zusammen, um die Kontrolle über diese Vermögenswerte zu gewährleisten, und ergreifen Sie geeignete Maßnahmen, um sicherzustellen, dass sie die Sicherheitsstrategie stets überwachen, melden und verbessern.
  4. Bereiten Sie sich auf Vorfälle vor und reagieren Sie darauf - seien Sie jederzeit auf alles vorbereitet. Haben Sie eine gut durchdachte und gut dokumentierte Vorfallsreaktion, die jeder relevanten Partei nicht nur bewusst ist, sondern die sie in- und auswendig kennen.
  5. Machen Sie es fit für das Unternehmen - jedes Unternehmen ist anders. Ein großartiger CISO implementiert nichts, weil er es kann oder weil es in seiner letzten Firma funktioniert hat. Er implementiert es, weil er weiß, dass es die richtige Wahl für dieses Unternehmen ist. Erstellen Sie eine Strategie, die sich an die Bedürfnisse des Unternehmens anpasst. Auf diese Weise wird sie länger standhalten und besser funktionieren.

Das war es auch schon. Eine kurze Anleitung, wie man ein großartiger CISO wird, die von großartigen CISOs erstellt wurde. Wenn Sie eigene Ideen haben, die Sie weitergeben und hinzufügen möchten, können Sie ein Gespräch mit uns auf Twitter beginnen oder den Kommentarbereich unten verwenden.

Artikel teilen

Jetzt Blog abonnieren