Tipps für den Start als CISO

Der erste Tag als CISO

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Auch wenn man sich fachlich gut mit Security- und Compliance-Fragen auskennt, lauern bei der neuen Aufgabe als CISO ab dem ersten Tag viele neue Herausforderungen.
Auch wenn man sich fachlich gut mit Security- und Compliance-Fragen auskennt, lauern bei der neuen Aufgabe als CISO ab dem ersten Tag viele neue Herausforderungen. (Bild: gemeinfrei / Pixabay)

Es kann schneller gehen, als man denkt: Die Geschäftsführung hat Sie als CISO auserkoren. Selbst wenn Sie sich schon lange mit Cyber Security befassen, kommen nun ganz neue Aufgaben auf Sie zu. Da ist es wichtig, gleich am ersten Tag die Weichen richtig zu stellen. Wir haben wichtige Tipps für Sie zusammengestellt, wie Sie sich für den neuen Alltag als CISO rüsten.

Entweder man arbeitet lange auf eine Karriere als IT-Sicherheitsverantwortlicher oder CISO hin, oder man wird es plötzlich. Der Security- und Compliance-Druck, den viele Unternehmensentscheider verspüren, führt vermehrt dazu, dass die Wahl des CISOs sehr schnell gehen kann, schneller als es dem oder der Betroffenen lieb ist.

Keine Frage, man kann sich geehrt fühlen, wenn der Vorstand oder die Geschäftsführung diese Wahl treffen, denn die Aufgabe ist mit einer großen Verantwortung verbunden, wenn auch oftmals nicht mit einem großen Budget. Doch wenn man sich auf eine wichtige Aufgabe nicht gut vorbereitet, kann der Stress für einen CISO gewaltig werden, schon am ersten Tag.

Welche Aufgaben ein CISO übernehmen muss

Die Rolle des CISO im Unternehmen

Welche Aufgaben ein CISO übernehmen muss

22.02.19 - IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst. lesen

Vorsicht Fettnäpfchen-Gefahr!

Auch wenn man fachlich gut im Thema ist, sich mit Security- und Compliance-Fragen ausführlich befasst hat, lauern bei der neuen Aufgabe als CISO viele Fußangeln. Es sind häufig die weichen Themen wie Kommunikation, die zu ersten Problemen führen.

Ein Beispiel: Sie sind der neue CISO oder die neue CISO und treffen Ihre neuen Security-Mitarbeiterinnen und Mitarbeiter. Ob dies früher Ihre Kolleginnen und Kollegen waren oder nicht, nun ist eine neue Situation eingetreten. Was Sie jetzt sagen, wird anders beurteilt.

Stellen Sie sich also vor, Sie fallen mit der Tür ins Haus und sprechen die Security-Leute in Ihrem Unternehmen auf Punkte an, die Sie schon immer gestört haben und jetzt ändern wollen. Oder Sie sind voller Tatendrang und sprechen von großen Visionen und Veränderungen, obwohl bei den Leuten der Schuh ganz woanders drückt. Der Tritt ins Fettnäpfchen passiert schnell.

Zuerst geht es um den Überblick

Anstatt also über neue Vorstellungen zu reden, sollten Sie an das einfache Prinzip der Datenverarbeitung denken. Zuerst ist die Eingabe, dann die Verarbeitung und dann die Ausgabe. Beginnen Sie deshalb auch als CISO mit der Eingabe, also mit dem Sammeln von Informationen, denn Sie brauchen einen Überblick, der zu einem Durchblick werden muss, soweit dies eben nur bei einem komplexen Thema wie Security geht:

Lernen Sie Ihr Security-Team (neu) kennen. Dazu sollten Sie ein Team-Meeting machen, bei dem zuerst das Team Fragen an Sie stellen kann, und dann sollten Sie fragen, nach Problemen genauso wie nach Ideen.

Nehmen Sie wenn möglich gleich am nächsten Führungskräfte-Meeting teil. Hier treffen Sie Ihre wichtigsten Multiplikatoren und die größten Bremser im Unternehmen. Leider sind die Unterstützer nicht immer diejenigen, die das Security-Budget verantworten, aber wenn Sie zum Beispiel einen Multiplikator im Rechtsbereich finden, kann diese Person Stimmung für mehr Security machen. Versuchen Sie in jedem Fall, den CIO oder den CFO zumindest nicht gegen sich aufzubringen, eine fachliche Freundschaft kann später ja immer noch entstehen.

Treffen Sie sich mit den IT-Administratoren (nach Abstimmung mit der IT-Leitung, versteht sich). Bekanntlich haben die Administratoren eine zentrale Aufgabe, viel Wissen und sind wichtig für die Umsetzung vieler IT-Sicherheitsrichtlinien. Nicht zuletzt müssen Sie die Administratoren aber auch (vorsichtig) sensibilisieren, denn bei ihnen lauern auch große IT-Sicherheitsrisiken.

Sprechen Sie mit den verschiedenen Beauftragten, also Datenschutzbeauftragten, Qualitätsmanagementbeauftragten und was es sonst noch bei Ihnen an Beauftragungen gibt. Diese Beauftragten können zwar nicht direkt beim Budget helfen, aber sie können durchaus Argumente liefern für mehr Security, und sie haben oftmals wertvolle Informationen und Dokumentationen, die Ihnen helfen können, auch die (scheinbaren) Randgebiete der Security besser kennenzulernen.

Das Verzeichnis von Verarbeitungstätigkeiten (früher Verfahrensverzeichnis) aus dem Datenschutz kann eine gute Informationsquelle sein (sofern es denn schon eines gibt). Ebenso können die Prozessbeschreibungen aus dem Qualitätsmanagement einen hilfreichen Überblick bieten. Nicht zuletzt sind Security-Risiken Teil der Business-Risiken. Sprechen Sie mit dem Risk Manager, welche Risikoanalysen bereits vorliegen. Es gibt viele Synergien, die sich nutzen lassen, es gibt nicht nur die Unterschiede in den Prioritäten zum Beispiel zwischen Datenschutz und Security, sondern viele Gemeinsamkeiten.

Natürlich helfen Ihnen auch alle Security-Unterlagen, die es bereits im Unternehmen gibt, alle Security-Konzepte und -Richtlinien, die vielleicht ja unvollständig oder veraltet sind, aber einen Anfang darstellen, der besser ist als ein leeres Blatt Papier.

Schließlich: alle Mitarbeiterinnen und Mitarbeiter sollten wissen, dass Sie der oder die neue CISO sind. Wahrscheinlich wird nicht gerade ein Sommerfest anstehen, bei dem Sie eine kleine Ansprache machen können. Aber es gibt vielleicht ein Intranet, einen internen Newsletter, wo Sie sich vorstellen und als Ansprechpartner anbieten können.

Warum CISOs das Security-Marketing verändern müssen

Der CISO und der Stellenwert der Security

Warum CISOs das Security-Marketing verändern müssen

12.07.19 - Gute IT-Sicherheit ist ein Wettbewerbsvorteil, eigentlich ein tolles Argument für mehr Security-Budget. Doch wenn Sicherheit zu sehr als Marketing-Faktor gesehen wird, schadet dies der Security. CISOs müssen Einfluss auf das Marketing nehmen, keine leichte Aufgabe, aber zwingend erforderlich. Die Security braucht einen neuen Stellenwert, um nicht unter die Räder der Werbung zu gelangen. lesen

Werden Sie zum Gesicht der Security

Viele Security-Experten sind nicht so gerne im Rampenlicht, selbst wenn zum Beispiel gerade ein komplexer Angriff erkannt und abgewehrt wurde, bleiben sie gerne im Hintergrund. Da gibt es viele Bereiche in dem Unternehmen, die sich für weitaus kleinere Erfolge feiern lassen.

Sie müssen als CISO nicht zum Verkaufsstar werden, der jeden unterschriebenen Auftrag durch die Gänge der Firma trägt und vorzeigt. Aber Sie müssen sichtbar und präsent sein und die Bedeutung der Security zeigen, vielleicht sogar verkörpern. Mrs. Security oder Mr. Security genannt zu werden, muss nicht Ihr Ziel sein, aber es wäre nicht schlecht, wenn man Sie so sieht.

Erfreulich ist, dass Sie dazu keine Werbekampagne machen müssen, Sie müssen einfach nur vor Ort sein, also Ortsbegehungen machen. Vieles können Sie zwar über Ihre Management-Systeme abrufen und in Berichten nachlesen, aber verlassen Sie wann immer möglich Ihr Büro und sprechen Sie mit den Leuten, gleich vom ersten Tag an.

Bekanntlich sind wir Menschen immer noch das Sicherheitsrisiko Nummer 1, aber auch gleichzeitig ein mögliches Bollwerk gegen Social Engineering, wenn wir die Sicherheit vor Augen haben. Da hilft es, den oder die CISO vor Augen zu haben, nicht nur bei Security-Schulungen, sondern im betrieblichen Alltag. Diese Präsenz kostet Zeit, aber es ist eine gut investierte Zeit. Sie werden sehen, was Sie alles erfahren werden, was für Ihre Arbeit als neuer CISO wertvoll sein wird.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46064297 / Mitarbeiter-Management)