Wenn Sie den Titel CISO hören, denken Sie an die Person, die für die Cybersicherheits- und Datensicherheitsstrategie einer Organisation verantwortlich ist. Ein wichtiger Teil der Rolle des CISO besteht darin, eine Organisation über Wasser zu halten. Eine Datenschutzverletzung ohne die erforderlichen Schutzmaßnahmen könnte beispielsweise dazu führen, dass ein Unternehmen unter der Last finanzieller und Reputationsschäden zusammenbricht, ohne dass der CISO eine angemessene Planung vornimmt.
Viele CISOs haben jedoch Schwierigkeiten, Unterstützung von Kollegen, Vorstandsmitgliedern und C-Level-Experten zu erhalten.
„Wenn Sie ein Nerd sind, der nicht über Geschäfte sprechen kann, werden sie Sie nicht ernst nehmen“, sagte Erdal Ozkaya, Autor von Cybersecurity-Führung entmystifiziert.
In seinem Buch bietet Ozkaya Ratschläge für CISOs, wie sie die technischen und geschäftlichen Aspekte der CISO-Rolle in Einklang bringen können, sowie Ratschläge zur Kommunikation von Cybersicherheit auf leitender und operativer Ebene. Außerdem werden Ratschläge zum Aufbau eines erfolgreichen Sicherheitsteams, zur Implementierung effektiver betrieblicher Sicherheitspraktiken, zur Zusammenarbeit mit der Personalabteilung und zur Erstellung eines Reaktionsplans für Vorfälle behandelt.
Hier erläutert Ozkaya – Autor von 16 Büchern über IT und Cybersicherheit –, wie wichtig es für CISOs ist, Geschäftsstrategien zu verstehen, und erklärt, warum CISOs Beziehungen zu anderen Abteilungen aufbauen müssen, um erfolgreich zu sein.
Anmerkung des Herausgebers: Dieser Text wurde aus Gründen der Länge und Klarheit bearbeitet.
Wer sollte Ihr Buch lesen?
Erdal Ozkaya: Das Buch wird Menschen zugute kommen, die versuchen, CISOs zu werden, und Neueinsteiger in diese Rolle. Als ich Sicherheitsberater bei Microsoft war, traf ich viele CISOs, die nicht aus dem Bereich Cybersicherheit stammten. Sie suchten Rat, aber es gab kein einziges Buch, das alles erklärte, was sie wissen mussten. Das habe ich darin versucht Cybersecurity-Führung entmystifiziert.
In dem Buch schrieben Sie: „Das Sicherheitsteam muss mit anderen Abteilungen des Unternehmens zusammenarbeiten, um sicherzustellen, dass der CISO … alle Aspekte des Unternehmens versteht. Warum ist dieser Schritt so wichtig?
Ozkaya: Ich werde auf zwei Arten antworten: für Leute, die aus der Branche kommen, und für andere.
Leute, die aus der Industrie kommen, sind meist Nerds, Computergurus oder Geeks. Sie programmieren gerne, führen Penetrationstests durch und minimieren die Kommunikation so weit wie möglich. In einer C-Level-Position muss man sich jedoch hinsetzen und mit Leuten über Sicherheit sprechen, die kein Verständnis für Technologie haben. Die CISOs von heute müssen das Geschäft verstehen und Technologie.
Dasselbe gilt für Leute, die von außerhalb der Branche kommen. Wenn Sie LinkedIn durchsuchen, werden Sie überrascht sein, wie viele CISOs zuvor in Marketing- oder Produktmanagementrollen gearbeitet haben. Obwohl diese Leute einen kaufmännischen Hintergrund haben, müssen sie dennoch Technologie verstehen. CISOs müssen die Grundwerte der Cybersicherheit verstehen, damit sie die richtigen Abwehrmechanismen einführen können.
Mit welchen Abteilungen und Teams sollten CISOs eine vorrangige Partnerschaft eingehen?
Ozkaya: CISOs sollten mit allen Abteilungen zusammenarbeiten, aber nicht alle Abteilungen sind gleich, wenn es um Cybersicherheit geht. Der Reinigungsdienst kann beispielsweise nicht helfen, Computerviren zu beseitigen. Dies erfordert die Hilfe des Incident Response Teams.
Es ist nicht über wennMais wann du wirst gehackt. Machen Sie sich bereit, Ihr Unternehmen so schnell wie möglich wieder online zu bringen. Arbeiten Sie zunächst mit dem Incident Response Team zusammen. Zweitens, haben Sie ein Sicherheitsbetriebsteam, das das Netzwerk im Auge behalten kann. Drittens, haben Sie ein rot-blaues Team. Diese internen ethischen Hacker helfen dabei, Schwachstellen zu finden. Der einzige Unterschied zwischen dem roten Team und den Hackern besteht darin, dass das rote Team metaphorisch in Ihr Haus einbricht, Ihren Safe öffnet und eine Haftnotiz hinterlässt, auf der steht: „Ich habe diese Technik verwendet, um in Ihr Haus einzubrechen, aber zum Glück bin ich ein Freund, und ich wollte nur zeigen, wie einfach es ist, Ihren Schmuck zu stehlen.
Welche Fähigkeiten benötigen CISOs über das technische Wissen hinaus?
Ozkaya: CISOs brauchen Soft Skills und starke kaufmännische Fähigkeiten. Sie müssen genau erklären können, was sie brauchen. Führungskräften ist es egal, wie viele Viren Sie haben, aber es ist ihnen wichtig, vertrauliche Unternehmensdaten preiszugeben. CISOs sollten Metriken verwenden, die Vorstandsmitglieder und Kollegen auf C-Level verstehen.
Es ist wie bei der Beantragung einer Hypothek bei einer Bank. Die Bank wird mehrere Fragen stellen: „Wie viel brauchen Sie? Können Sie das Darlehen zurückzahlen? Wie hoch ist der Return on Investment?‘ Gleiches gilt für die Bretter. Sie werden sagen: „OK, du willst 2 Millionen Dollar, aber warum?“ CISOs müssen wissen, wie sie ihre Strategie vermarkten, da Vorstandsmitglieder nur dann Budget zuweisen, wenn sie die Vorteile verstehen.
Wie hat sich die Rolle des CISO in den letzten Jahren entwickelt?
Ozkaya: Es hat sich viel verändert. Mit mehr Angriffen steht für CISOs mehr auf dem Spiel. Stellen Sie sich vor, Sie wollen Geld bei einer Bank einzahlen, als Sie feststellen, dass die Bank gerade einen großen Datenverstoß erlitten hat. Werden Sie sich jetzt für diese Bank entscheiden? Wahrscheinlich nicht.
Das erste, was nach einem Cyberangriff passiert – wenn es sich um ein börsennotiertes Unternehmen handelt – ist, dass der Aktienkurs einbricht. Sie möchten das Vertrauen Ihrer Aktionäre, Kunden und Mitarbeiter verlieren? SolarWinds ist ein berühmtes Beispiel. Führungskräfte müssen mit Cybersicherheitsexperten zusammenarbeiten, um das Vertrauen aufrechtzuerhalten. Dies bedeutet nicht, dass Ihre Organisation nicht gehackt wird. Aber wen interessiert es, wenn Sie die richtigen Strategien zum Schutz Ihrer Stammdaten implementieren, wenn Sie einen Cyber-Vorfall haben?