Thought Leadership
Die Rolle des Chief Information Security Officer (CISO) in einem Unternehmen wird zunehmend notwendiger: Unternehmen brauchen jemanden, der sich taktisch mit dem Thema Sicherheit auseinandersetzt.
Bei der Rekrutierung eines CISO neigten Unternehmen bisweilen allerdings dazu, Bewerber auszuwählen, die über ein fundiertes technisches Grundwissen verfügen, aber nur selten Management-Erfahrung mitbringen. Das Ergebnis: Eine Positionierung des CISO als Führungskraft ist so praktisch unmöglich. Oft werden sie sogar eher als Störfaktoren gesehen, die durch das Verbieten von bestimmten Anwendungen die Produktivität der Mitarbeiter behindern.
Im Laufe der letzten Jahre hat sich dieses Bild aber stark gewandelt: Vom technisch-versierten Störfaktor hin zur taktischen Bereicherung im Sicherheitsbereich. Vor allem hochkarätige Hackerangriffe und Sicherheitslücken, wie die Vorfälle bei Sony oder Target, haben gezeigt wie wichtig CISOs sind und haben somit massiv zu diesem Rollenwandel beigetragen.
Nach wie vor kann es aber für CISOs schwierig sein, ihre Rolle im Unternehmen zu stärken – gerade nach einem Unternehmenswechsel. Viele halten an veralteten Strategien fest, um in möglichst kurzer Zeit sichtbare Erfolge zu erzielen. Diese „Quick Wins“ schädigen jedoch das Image des CISO und erfüllen die Erwartungen an die Position nicht. Wie aber kann man als CISO seine Position im Unternehmen stärken und sowohl als strategischer- als auch technischer Geschäftspartner wahrgenommen werden? Arved Graf von Stackelberg, Director Central Europe von Veracode, rät, die folgenden drei Tipps zu beachten:
- Die Sprache der Führungsetage sprechen:
CISOs und Sicherheitsverantwortliche messen ihren Erfolg oft an der Anzahl verhinderter Angriffe, reparierter Fehler im Code oder aufgedeckter Schwachstellen. Das Management eines Unternehmens kann den wirklichen Wert dieser Zahlen allerdings kaum verstehen, da sie nicht über denselben technischen Hintergrund und das damit verbundene Fachwissen verfügen. Deshalb sollten CISOs über die Reduzierung von Risiken sprechen und die damit verbundene Bedeutung für das Unternehmen. Besonders in Bezug auf das Thema Kosten ist es sinnvoll aufzuzeigen, wie mit Sicherheit ein echter Mehrwert für das Unternehmen geschaffen werden kann und nicht nur Kosten entstehen.
- Von der Straßensperre zum Wegweiser werden:
Die Sicherheitsabteilungen von Unternehmen werden oft als Nein-Sager-Abteilungen angesehen: „Nein, du darfst dieses Programm nicht benutzen. Nein, das Herunterladen dieser App ist untersagt.“ Die Liste lässt sich beliebig lang weiterführen. Angestellte und sogar ganze Abteilungen haben Wege gefunden, die Sicherheitsabteilung zu umgehen. Das beschleunigt die Entstehung von Sicherheitslücken. CISOs stehen also vor der Herausforderung, mit den Angestellten eng zusammen zu arbeiten und Wege zu finden, wie sie auch Anwendungen von Drittanbietern nutzen können, ohne das Unternehmen einem unnötigen Risiko auszusetzen. Dasselbe gilt für Entwicklerteams, die Codes von Drittanbietern benötigen, um schneller programmieren zu können.
- Halte deine Freunde nahe bei dir, aber deine Feinde noch näher:
Den Ruf als „Straßensperre“ los zu werden und stattdessen als Impulsgeber für Innovationen wahrgenommen zu werden, ist eine Herkules-Aufgabe und lässt sich mit einem Partner besser bestreiten. Dieser kann von unerwarteter Seite kommen, zum Beispiel aus dem Marketing. Sicherheits- und Marketingabteilung scheinen auf den ersten Blick unvereinbar miteinander zu sein. Besonders, weil das Marketing die Abteilung ist, die die meisten Sicherheitsrisiken herbeiführt: Das Marketing nutzt nicht nur öffentlich zugängliche Websites, die der typische Einstieg für Hacker sind, sondern auch neue Technologien, die das Risiko erhöhen und Sicherheitsprotokolle umgehen. Doch wie kann dieser „Sicherheitsgegner“ zum Verbündeten werden? Marketingverantwortliche haben ein Talent für die Vermarktung und Kommunikation von wichtigen Informationen. Mit einer Verbrüderung schlägt das Sicherheitsteam zwei Fliegen mit einer Klappe: Es kann die Marketingtätigkeiten in Punkto Sicherheit im Auge behalten, während gleichzeitig sein Image im Rest des Unternehmens aufpoliert wird.
Die drei aufgeführten Ratschläge fallen einem CISO mit ausschließlich technischen Hintergrund nicht unbedingt leicht. Deshalb hat Veracode ein Tool Kit als Unterstützung zusammengestellt. Es beinhaltet verschiedenste Informationen und Tipps zum Aufbau einer Sicherheitsstrategie und zur persönlichen Weiterbildung. Beachtet man jedoch Kleinigkeiten, wie den angemessenen Sprachgebrauch, befindet man sich definitiv auf dem richtigen Weg.
