Suchen

Strategiewechsel in der Cybersecurity Die Zerreißprobe für CISOs

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Jeder CISO muss jetzt zum Transformational CISO werden, sagt Forrester Research. Doch diese Transformation ist schwierig, denn aktuell ändern sich viele Security-Strategien. CISOs wissen kaum, wie sie sich ausrichten sollen. Dabei kommt es nun auf eine klare Linie in der Cybersecurity an. Wir geben einen Überblick, wo CISOs nun stehen und wohin sie sich ausrichten müssen.

Firma zum Thema

Die Rolle der CISOs verändert sich durch die Corona-Krise sprunghaft und stellt für sie eine echte Zerreißprobe dar. Jetzt ist es besonders wichtig, mental gestärkt zu sein.
Die Rolle der CISOs verändert sich durch die Corona-Krise sprunghaft und stellt für sie eine echte Zerreißprobe dar. Jetzt ist es besonders wichtig, mental gestärkt zu sein.
(Bild: gemeinfrei / Pixabay )

Kaum hat Forrester Research die verschiedenen Rollen eines CISOs untersucht, schon gibt es eine neue Entwicklung, die vieles verändert hat: Durch die Corona-Pandemie hat sich die zu schützende IT-Umgebung (Stichwort Home-Offices) gewandelt, die Bedrohungslage weiter verschärft und die Security selbst modifiziert.

Wie zum Beispiel der CISO Current Report Q2 2020 von YL Ventures zeigt, haben 51 Prozent der befragten CISOs seit dem Ausbruch von COVID-19 neue Technologien erworben, um Remote-Mitarbeiter besser zu schützen. Von den neu erworbenen Lösungen befassten sich 32 Prozent mit der Multi-Faktor-Authentifizierung (MFA) und 23 Prozent mit der Sicherheit für virtuelle Desktop-Umgebungen und der Endpunktsicherheit für Geräte außerhalb von Unternehmensumgebungen. Zero Trust und Secure Access Service Edge (SASE) machten weitere 19 Prozent der Lösungen aus.

66 Prozent der IT-Fachleute berichten zudem über eine Zunahme von Sicherheitsproblemen in den letzten drei Monaten, wie ein Studie von Ivanti ergab. Die drei Top-Themen sind demnach bösartige E-Mails, risikoreiches, nicht regelkonformes Mitarbeiterverhalten und eine Zunahme bei Software-Schwachstellen.

Neue Umgebungen, neue Security-Lösungen und erhöhte Cyber-Risiken lassen für Forrester Research nur einen Schluss zu: Jeder CISO wird jetzt zum „Transformational CISO“. Der Forrester-Bericht „Every CISO Is Now A Transformational CISO - Lead During Turbulent Times Using The Traits Of This CISO“ lässt diese Schlüsse zu:

  • Nahezu jede Sicherheitspolitik, jeder Standard und jeder strategische Security-Plan ist derzeit ungültig. CISOs müssen jetzt auf dringende Bedürfnisse reagieren, statt langfristig zu planen.
  • Security-Leader, die sich jetzt zu einem transformativen CISO entwickeln, werden aus dem Schatten ihres CIOs hervortreten.

Doch was hat es mit dem Schatten des CIOs eigentlich auf sich?

Der CIO und CEO als Schatten-CISO

Nicht nur die Schatten-IT, die durch die Home-Offices weiter zunehmen wird, ist ein Problem für den CISO, sondern auch die Schatten-Beziehung zum CIO und CEO: Der Report „The Current and Future State of Cybersecurity“ von Forecpoint und WSJ Intelligence ergab, dass CEOs und CISOs geteilter Auffassung sind, wenn es um die Ausrichtung der Cybersicherheit in ihrem Unternehmen geht. CEOs ziehen es vor, proaktiv und risikobewusst zu agieren (58 Prozent) und priorisieren die Geschäftsstabilität. Im Gegensatz dazu wählen mehr als die Hälfte der CISOs (54 Prozent) einen reaktiveren, auf Zwischenfälle ausgerichteten Ansatz.

Diese unterschiedlichen Sichten auf Cybersecurity belasten die Arbeit der CISOs zusätzlich, denn sie fürchten, dass sich die Security-Strategie anders entwickelt, als sie es gerne sehen würden, wenn sich CEO oder CIO als Schatten-CISO betätigen. Gleichzeitig ist ein reaktiver Ansatz bei so vielen Veränderungen kaum durchzuhalten. CISOs müssen sich deshalb tatsächlich transformieren, auch in ihren Einstellungen zur Security-Strategie. Wie aber ist das möglich?

Tipps für die oder den CISO

Der Forrester-Bericht zu der neuen Transformationsrolle der CISOs enthält auch einige Hinweise, wie sich CISOs nun verhalten sollten:

  • Mit Empathie führen: Empathie sollte die Grundlage des Führungsansatzes sein. Empathie bedeutet dabei, die Fähigkeit und Bereitschaft, Emotionen, Gedanken und Motive einer anderen Person zu verstehen und nachzuempfinden. Diese andere Person kann ein IT-Nutzer sein, ein Mitglied des Security-Teams, aber auch der oder die CIO oder CEO.
  • Lerne im Chaos zu gedeihen: CISOs sollen die Kontrolle loslassen und sich stattdessen den aktuellen Umständen anpassen. Man kann nicht alles kontrollieren, auch wenn es schwerfällt.
  • Sag einfach ja: CISOs sollen sich keine Sorgen über die kurzfristigen Mängel des aktuellen Status des Sicherheitsprogramms machen. Es geht nur darum, dass die Dinge „einfach funktionieren“.
  • Erkennen Sie die Stärke der Verwundbarkeit: Wenn CISOs sich in ihr Team einarbeiten und auf ihr Team einlassen, wird der Stress der Mitarbeiter und der CISOs verringert. Es geht um das Gefühl, nicht allein zu sein, und um das Vertrauen, dass man das tut, was "gerade" richtig ist.

Offensichtlich hat dies viel mit Psychologie zu tun, und bekanntlich müssen CISOs auch solche Fähigkeiten entwickeln.

Es erscheint auf den ersten Blick vielleicht verrückt, sich nun auch noch mit „Psycho-Tricks“ befassen zu müssen, doch es geht letztlich darum zu verstehen, dass es jetzt darauf ankommt zu agieren und gleichzeitig auf die Entwicklungen zu reagieren. Es ist eine echte Zerreißprobe für die CISOs, da es ist besonders wichtig, mental gestärkt zu sein. Dabei können die Tipps von Forrester Research durchaus helfen. Man kann jetzt nicht langfristig planen und alles kontrollieren, es geht nur Schritt für Schritt, und das ist gut und richtig so.

(ID:46809226)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research