SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Business ManDie Rolle des Chief Information Security Officer (CISO) in einem Unternehmen wird zunehmend notwendiger: Unternehmen brauchen jemanden, der sich taktisch mit dem Thema Sicherheit auseinandersetzt.

Bei der Rekrutierung eines CISO neigten Unternehmen bisweilen allerdings dazu, Bewerber auszuwählen, die über ein fundiertes technisches Grundwissen verfügen, aber nur selten Management-Erfahrung mitbringen. Das Ergebnis: Eine Positionierung des CISO als Führungskraft ist so praktisch unmöglich. Oft werden sie sogar eher als Störfaktoren gesehen, die durch das Verbieten von bestimmten Anwendungen die Produktivität der Mitarbeiter behindern.

Im Laufe der letzten Jahre hat sich dieses Bild aber stark gewandelt: Vom technisch-versierten Störfaktor hin zur taktischen Bereicherung im Sicherheitsbereich. Vor allem hochkarätige Hackerangriffe und Sicherheitslücken, wie die Vorfälle bei Sony oder Target, haben gezeigt wie wichtig CISOs sind und haben somit massiv zu diesem Rollenwandel beigetragen.

Nach wie vor kann es aber für CISOs schwierig sein, ihre Rolle im Unternehmen zu stärken - gerade nach einem Unternehmenswechsel. Viele halten an veralteten Strategien fest, um in möglichst kurzer Zeit sichtbare Erfolge zu erzielen. Diese „Quick Wins“ schädigen jedoch das Image des CISO und erfüllen die Erwartungen an die Position nicht. Wie aber kann man als CISO seine Position im Unternehmen stärken und sowohl als strategischer- als auch technischer Geschäftspartner wahrgenommen werden? Arved Graf von Stackelberg, Director Central Europe von Veracode, rät, die folgenden drei Tipps zu beachten:

  1. Die Sprache der Führungsetage sprechen: 

    CISOs und Sicherheitsverantwortliche messen ihren Erfolg oft an der Anzahl verhinderter Angriffe, reparierter Fehler im Code oder aufgedeckter Schwachstellen. Das Management eines Unternehmens kann den wirklichen Wert dieser Zahlen allerdings kaum verstehen, da sie nicht über denselben technischen Hintergrund und das damit verbundene Fachwissen verfügen. Deshalb sollten CISOs über die Reduzierung von Risiken sprechen und die damit verbundene Bedeutung für das Unternehmen. Besonders in Bezug auf das Thema Kosten ist es sinnvoll aufzuzeigen, wie mit Sicherheit ein echter Mehrwert für das Unternehmen geschaffen werden kann und nicht nur Kosten entstehen.
     
  2. Von der Straßensperre zum Wegweiser werden: 

    Die Sicherheitsabteilungen von Unternehmen werden oft als Nein-Sager-Abteilungen angesehen: „Nein, du darfst dieses Programm nicht benutzen. Nein, das Herunterladen dieser App ist untersagt.“ Die Liste lässt sich beliebig lang weiterführen. Angestellte und sogar ganze Abteilungen haben Wege gefunden, die Sicherheitsabteilung zu umgehen. Das beschleunigt die Entstehung von Sicherheitslücken. CISOs stehen also vor der Herausforderung, mit den Angestellten eng zusammen zu arbeiten und Wege zu finden, wie sie auch Anwendungen von Drittanbietern nutzen können, ohne das Unternehmen einem unnötigen Risiko auszusetzen. Dasselbe gilt für Entwicklerteams, die Codes von Drittanbietern benötigen, um schneller programmieren zu können.
     
  3. Halte deine Freunde nahe bei dir, aber deine Feinde noch näher: 

    Den Ruf als „Straßensperre“ los zu werden und stattdessen als Impulsgeber für Innovationen wahrgenommen zu werden, ist eine Herkules-Aufgabe und lässt sich mit einem Partner besser bestreiten. Dieser kann von unerwarteter Seite kommen, zum Beispiel aus dem Marketing. Sicherheits- und Marketingabteilung scheinen auf den ersten Blick unvereinbar miteinander zu sein. Besonders, weil das Marketing die Abteilung ist, die die meisten Sicherheitsrisiken herbeiführt: Das Marketing nutzt nicht nur öffentlich zugängliche Websites, die der typische Einstieg für Hacker sind, sondern auch neue Technologien, die das Risiko erhöhen und Sicherheitsprotokolle umgehen. Doch wie kann dieser „Sicherheitsgegner“ zum Verbündeten werden? Marketingverantwortliche haben ein Talent für die Vermarktung und Kommunikation von wichtigen Informationen. Mit einer Verbrüderung schlägt das Sicherheitsteam zwei Fliegen mit einer Klappe: Es kann die Marketingtätigkeiten in Punkto Sicherheit im Auge behalten, während gleichzeitig sein Image im Rest des Unternehmens aufpoliert wird.

Die drei aufgeführten Ratschläge fallen einem CISO mit ausschließlich technischen Hintergrund nicht unbedingt leicht. Deshalb hat Veracode ein Tool Kit als Unterstützung zusammengestellt. Es beinhaltet verschiedenste Informationen und Tipps zum Aufbau einer Sicherheitsstrategie und zur persönlichen Weiterbildung. Beachtet man jedoch Kleinigkeiten, wie den angemessenen Sprachgebrauch, befindet man sich definitiv auf dem richtigen Weg.

http://de.veracode.net/

GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet