VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Business ManDie Rolle des Chief Information Security Officer (CISO) in einem Unternehmen wird zunehmend notwendiger: Unternehmen brauchen jemanden, der sich taktisch mit dem Thema Sicherheit auseinandersetzt.

Bei der Rekrutierung eines CISO neigten Unternehmen bisweilen allerdings dazu, Bewerber auszuwählen, die über ein fundiertes technisches Grundwissen verfügen, aber nur selten Management-Erfahrung mitbringen. Das Ergebnis: Eine Positionierung des CISO als Führungskraft ist so praktisch unmöglich. Oft werden sie sogar eher als Störfaktoren gesehen, die durch das Verbieten von bestimmten Anwendungen die Produktivität der Mitarbeiter behindern.

Im Laufe der letzten Jahre hat sich dieses Bild aber stark gewandelt: Vom technisch-versierten Störfaktor hin zur taktischen Bereicherung im Sicherheitsbereich. Vor allem hochkarätige Hackerangriffe und Sicherheitslücken, wie die Vorfälle bei Sony oder Target, haben gezeigt wie wichtig CISOs sind und haben somit massiv zu diesem Rollenwandel beigetragen.

Nach wie vor kann es aber für CISOs schwierig sein, ihre Rolle im Unternehmen zu stärken - gerade nach einem Unternehmenswechsel. Viele halten an veralteten Strategien fest, um in möglichst kurzer Zeit sichtbare Erfolge zu erzielen. Diese „Quick Wins“ schädigen jedoch das Image des CISO und erfüllen die Erwartungen an die Position nicht. Wie aber kann man als CISO seine Position im Unternehmen stärken und sowohl als strategischer- als auch technischer Geschäftspartner wahrgenommen werden? Arved Graf von Stackelberg, Director Central Europe von Veracode, rät, die folgenden drei Tipps zu beachten:

  1. Die Sprache der Führungsetage sprechen: 

    CISOs und Sicherheitsverantwortliche messen ihren Erfolg oft an der Anzahl verhinderter Angriffe, reparierter Fehler im Code oder aufgedeckter Schwachstellen. Das Management eines Unternehmens kann den wirklichen Wert dieser Zahlen allerdings kaum verstehen, da sie nicht über denselben technischen Hintergrund und das damit verbundene Fachwissen verfügen. Deshalb sollten CISOs über die Reduzierung von Risiken sprechen und die damit verbundene Bedeutung für das Unternehmen. Besonders in Bezug auf das Thema Kosten ist es sinnvoll aufzuzeigen, wie mit Sicherheit ein echter Mehrwert für das Unternehmen geschaffen werden kann und nicht nur Kosten entstehen.
     
  2. Von der Straßensperre zum Wegweiser werden: 

    Die Sicherheitsabteilungen von Unternehmen werden oft als Nein-Sager-Abteilungen angesehen: „Nein, du darfst dieses Programm nicht benutzen. Nein, das Herunterladen dieser App ist untersagt.“ Die Liste lässt sich beliebig lang weiterführen. Angestellte und sogar ganze Abteilungen haben Wege gefunden, die Sicherheitsabteilung zu umgehen. Das beschleunigt die Entstehung von Sicherheitslücken. CISOs stehen also vor der Herausforderung, mit den Angestellten eng zusammen zu arbeiten und Wege zu finden, wie sie auch Anwendungen von Drittanbietern nutzen können, ohne das Unternehmen einem unnötigen Risiko auszusetzen. Dasselbe gilt für Entwicklerteams, die Codes von Drittanbietern benötigen, um schneller programmieren zu können.
     
  3. Halte deine Freunde nahe bei dir, aber deine Feinde noch näher: 

    Den Ruf als „Straßensperre“ los zu werden und stattdessen als Impulsgeber für Innovationen wahrgenommen zu werden, ist eine Herkules-Aufgabe und lässt sich mit einem Partner besser bestreiten. Dieser kann von unerwarteter Seite kommen, zum Beispiel aus dem Marketing. Sicherheits- und Marketingabteilung scheinen auf den ersten Blick unvereinbar miteinander zu sein. Besonders, weil das Marketing die Abteilung ist, die die meisten Sicherheitsrisiken herbeiführt: Das Marketing nutzt nicht nur öffentlich zugängliche Websites, die der typische Einstieg für Hacker sind, sondern auch neue Technologien, die das Risiko erhöhen und Sicherheitsprotokolle umgehen. Doch wie kann dieser „Sicherheitsgegner“ zum Verbündeten werden? Marketingverantwortliche haben ein Talent für die Vermarktung und Kommunikation von wichtigen Informationen. Mit einer Verbrüderung schlägt das Sicherheitsteam zwei Fliegen mit einer Klappe: Es kann die Marketingtätigkeiten in Punkto Sicherheit im Auge behalten, während gleichzeitig sein Image im Rest des Unternehmens aufpoliert wird.

Die drei aufgeführten Ratschläge fallen einem CISO mit ausschließlich technischen Hintergrund nicht unbedingt leicht. Deshalb hat Veracode ein Tool Kit als Unterstützung zusammengestellt. Es beinhaltet verschiedenste Informationen und Tipps zum Aufbau einer Sicherheitsstrategie und zur persönlichen Weiterbildung. Beachtet man jedoch Kleinigkeiten, wie den angemessenen Sprachgebrauch, befindet man sich definitiv auf dem richtigen Weg.

http://de.veracode.net/

GRID LIST
Tb W190 H80 Crop Int 9168b2ba3e6259e0f1fd673ee066a7c3

Airlock WAF 7.1: Automatisierung der IT-Security

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Cloud Account Defense: Sicherheit bei Office-365-Accounts

Proofpoint, Inc. (NASDAQ: PFPT), gab die Verfügbarkeit von Proofpoint Cloud Account…
Security Concept

Compliance ist nur Teilaspekt der IT-Sicherheit

IT-Sicherheit ist primär Compliance-getrieben, vor allem im Finanzbereich, in dem…
Tb W190 H80 Crop Int 7f34eb55b3556a8251b3162716d61345

DATEV setzt auf E-Mail-Verschlüsselung mit SEPPmail

Wer heute noch Wirtschaftsdaten unverschlüsselt per E-Mail versendet, der handelt grob…
Tb W190 H80 Crop Int 49c3e436909bd934ea51fdf9eac53ce9

Die neue Micro Focus File Governance Suite gegen Ransomware

Mit der neuen Micro Focus File Governance Suite können Unternehmen wertvolle Daten…
Tb W190 H80 Crop Int 82d555974c4301765fa077eca273fcb3

Neue IoT Identity Plattform von GlobalSigns

GlobalSign führt seine IoT Identity Plattform ein, die wichtige Sicherheitsanforderungen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security