Der Chief Information Security Officer, welche Fähigkeiten?

(Di Carlo Mauceli)
14

Für viele Cybersecurity-Experten besteht das ultimative Karriereziel darin, die Rolle von zu übernehmen Chief Information Security Officer (CISO). CISO ist eine Führungsposition, die für das IT-Risikomanagement und den Betrieb verantwortlich ist.

Wie wir wissen, verändert sich die Cybersicherheit und heute muss ein guter CISO auch über starke Kommunikationsfähigkeiten und ein tiefes Verständnis für das Geschäft verfügen. Um eine solche Rolle übernehmen zu können, muss man verstehen, wie sich dies entwickelt und welche Fähigkeiten erforderlich sind, um sich zu übertreffen.

Während Unternehmensorganisationen den Weg der Digitalisierung entwickeln, auch durch die Nutzung von Diensten WolkeIhre Fähigkeit, Technologie effektiv zu nutzen, ist zu einem wesentlichen Bestandteil ihres Erfolgs geworden. Dieser Prozess hat jedoch auch mehr Möglichkeiten für Cyberkriminelle geschaffen.

In den letzten Jahren haben Unternehmen jeder Größe einen Reputationsschaden erlitten und erhebliche Ressourcen aufgewendet, um sich von einem Angriff zu erholen, oder sie mussten Geldstrafen für Verstöße gegen Datenschutzgesetze zahlen.

Ein guter CISO muss wissen, dass ein Cyber-Vorfall in erster Linie ein Geschäftsrisiko und nicht nur ein einfaches Cyber-Risiko ist. Bei Entscheidungen müssen Vorstände und Führungsteams in der Lage sein, die Wahrscheinlichkeit eines Datenverstoßes sowie finanzielle Verluste oder operationelle Risiken einzuschätzen. Ein guter CISO hilft ihnen dabei.

Nach Untersuchungen von Deloitte gibt es vier Rollen oder Aspekte, die ein CISO besitzen und entwickeln muss: die Techdas Erziehungsberechtigterdas Stratege und Berater.
Wahrscheinlich sind viele der Menschen, die die Rolle des CISO anstreben, bereits mit den Merkmalen des Technologen und Mentors vertraut.

In Qualität von TechDer CISO ist verantwortlich für die Anleitung, Bereitstellung und Verwaltung von Sicherheitstechnologien und -standards.

In der Rolle von Erziehungsberechtigter, überwachen und regulieren Programme und Steuerungen, um die Sicherheit kontinuierlich zu verbessern. Wir dürfen jedoch niemals vergessen, dass technische Kontrollen und Standards das Risiko von Cyberangriffen nicht vollständig ausschließen und dass der CISO nicht alle Bedingungen kontrolliert, die die Wahrscheinlichkeit eines Verstoßes erhöhen können. Aus diesem Grund sind die Rollen von Strategen und Beratern immer wichtiger geworden.

In Qualität von StrategeDer CISO muss die Sicherheit an der Geschäftsstrategie ausrichten, um zu bestimmen, wie Investitionen in Sicherheit einen Mehrwert für das Unternehmen bringen können.

In diesem BeraterCISO hilft Führungsteams, die Cybersicherheitsrisiken zu verstehen, damit sie auf der Grundlage der erhaltenen Informationen richtige Entscheidungen treffen können.

Um in diesen Rollen herausragende Leistungen zu erbringen, ist es wichtig, über ausgezeichnete Geschäftskenntnisse zu verfügen, das Risikomanagement zu verstehen und die Kommunikationsfähigkeiten zu verbessern.
Wie bereits erwähnt, kennen Sie wahrscheinlich bereits die Aspekte, die mit der Rolle des Technologen und Tutors zusammenhängen, wenn Sie bereits im Bereich IT-Sicherheit tätig sind und daran interessiert sind, die Rolle des CISO zu übernehmen.

Sie können Ihre technischen Fähigkeiten verbessern, indem Sie versuchen, Erfahrung und Zertifizierung in einer Vielzahl von Bereichen zu sammeln, damit Sie verstehen, was Bedrohungsanalyse, Bedrohungssuche, Compliance, ethisches Hacken und Systemkontrolle sind. Das ist aber noch nicht alles. In der Tat müssen Sie Zeit finden, um an Ihren Führungsqualitäten zu arbeiten.

  • Das Verständnis des Geschäfts ist der wichtigste Schritt, wenn Sie sich auf eine Führungsrolle vorbereiten möchtenmuss man lernen, wie ein Geschäftsmann zu denken. Wer sind Ihre Kunden? Was sind die großen Chancen und Herausforderungen Ihrer Branche? Was macht Ihr Unternehmen einzigartig? Was sind ihre Schwächen? Welche Geschäftsstrategien leiten die Organisation? Es ist wichtig, auf Unternehmenskommunikation und Jahresberichte zu achten, um herauszufinden, welche Prioritäten der Unternehmensvorstand hat und warum bestimmte Entscheidungen getroffen wurden, um Artikel zu lesen, die sich auf Ihre Branche beziehen, um eine breitere Perspektive auf das Geschäftsumfeld und die Geschäftsentwicklung Ihres Unternehmens zu erhalten. passt in den Markt. Diese Forschung hilft Ihnen dabei, bessere Entscheidungen darüber zu treffen, wie begrenzte Ressourcen zum Schutz des Unternehmensvermögens zugewiesen werden sollen. Es wird Ihnen auch helfen, Ihre Argumente so zu formulieren, dass das Unternehmen auf das hört, was Sie vorschlagen möchten. Wenn Sie beispielsweise Ihr Unternehmen davon überzeugen möchten, Ihre Firewall zu aktualisieren, ist es einfacher, Entscheidungsträger zu überzeugen, wenn Sie die Beziehung zwischen einem Sicherheitsvorfall und der Beziehung des Unternehmens zu Kunden oder Investoren erklären können.
  • Lernen Sie das RisikomanagementZukunftsorientierte Unternehmen gehen regelmäßig strategische Risiken ein, um ihre Ziele zu erreichen, nutzen die Gelegenheit, neue Produkte auf den Markt zu bringen, oder erwerben einen Wettbewerber, der ihre Produkte für den Markt attraktiver macht. Wenn diese Entscheidungen falsch sind, können sie enorme Verluste oder Insolvenzen verursachen. Risikomanagement ist eine Disziplin, die versucht, die positiven und negativen Seiten des Handelns zu verstehen und Risiken so weit wie möglich zu eliminieren oder zu mindern. Durch den Vergleich der Wahrscheinlichkeit verschiedener Optionen, z. B. der Kapitalrendite bei Erfolg des Unternehmens oder des potenziellen Verlusts im Falle eines Ausfalls, können Manager bessere Entscheidungen treffen. Der CISO hilft bei der Identifizierung und Quantifizierung von Cybersicherheitsrisiken, die neben finanziellen und operationellen Risiken berücksichtigt werden sollten.
  • Kommunikationsfähigkeiten verbessern: Um ein guter Berater und Stratege zu sein, müssen Sie effektiv mit Menschen kommunizieren, die unterschiedliche Erfahrungen und Hintergründe haben. An einem Tag können Sie sich mit einem sehr technischen Mitglied Ihres Teams streiten, am nächsten Tag müssen Sie möglicherweise an einer Geschäftsentscheidung auf Führungsebene teilnehmen oder sogar aufgefordert werden, dem Verwaltungsrat Bericht zu erstatten. EIN Kommunikationsplan Es kann hilfreich sein, die Nachrichten zu verfeinern, die an die verschiedenen Gesprächspartner gesendet werden sollen.

Um diese Eigenschaften zu entwickeln, müssen Sie versuchen, die Ziele der Personen zu verstehen, mit denen Sie regelmäßig sprechen. Was sind ihre Bedürfnisse? Ist es möglich, Sicherheitskommunikation so zu gestalten, dass sie diese Herausforderungen bewältigen kann? Sie müssen nachdenken und sich Zeit nehmen, um sich vor Besprechungen, Gesprächen auf dem Flur und dem Austausch von E-Mails und Chats in die Lage eines anderen zu versetzen. Es kann wirklich einen Unterschied machen!

Ein gutes Kommunikationsplan bietet gezielte Sicherheitsmeldungen (siehe Tabelle).

In den letzten Jahren wurde die Rolle von CISOs in den Vorstand eines Unternehmens aufgenommen, um strategische Sicherheitsberatung zu erhalten.
Durch den Aufbau von Führungsqualitäten wie Risikomanagement und Kommunikation können Sie diese Rolle auf immer wichtigere Weise übernehmen.