:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kompetenz-Management Leadership-Strategien, die CISOs jetzt kennen müssen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Ein unternehmerisch denkender CISO beherrscht sowohl die Klaviaturen des Risiko-Managements als auch die der strategischen Geschäftsführung. Zudem muss er Führungskräften auf C-Suite-Ebene dabei helfen, Risiken im Kontext der Unternehmenssteuerung verstehen zu lernen.
Vor nicht allzu langer Zeit konnten sich CISOs auf ihre gut entwickelten technischen Fähigkeiten verlassen, um in ihrer Funktion hervorragende Leistungen zu erbringen. Aufgrund der insgesamt dramatisch ansteigenden Anzahl von Hacker-Angriffen gewinnt das Thema IT-Security nicht nur zunehmend an Bedeutung, sondern fordert von den CISOs auch weitere, vor allem anspruchsvolle unternehmerische Fähigkeiten, um eine Organisation vor den unterschiedlichsten Cyber-Bedrohungen zu bewahren.
Geschäftliche Zielsetzungen
Mithilfe moderner Leadership-Strategien betrachten CISOs erstmals das Gesamtbild eines Unternehmens und entwerfen auf dieser Basis ein maßgeschneidertes IT-Security-Programm gemäß einer definierten Risikotoleranz, um die geschäftlichen und organisatorischen Ziele zu erreichen. Darüber hinaus sollte sich die IT-Security-Strategie nicht darauf konzentrieren, so sicher wie möglich zu sein, sondern darauf, so sicher wie nötig zu sein.
Unternehmen können sich je nach den finanziellen Möglichkeiten und dem Grad der Gefährdung durch Bedrohungen für reaktive, proaktive und operative Abwehrmaßnahmen oder idealerweise eine Kombination der drei entscheiden. Ein CISO wird die drei Arten von Ansätzen zur Implementierung von IT-Security durchgehen und der Organisation helfen, die optimale Verteidigungsstrategie auszuwählen.
Damit dies zielführend umgesetzt werden kann, muss der CISO die Investitionen in die Sicherheit genau ausbalancieren, um die akzeptablen Risiken gegen die inakzeptablen abzuwägen.
Organisatorischer Rahmen
Nicht nur CISOs müssen sich ändern: Es gibt zwei wichtige Aktivitäten für die Aufbau- und Ablauforganisation, die das Management unternehmen sollte, um CISOs auch aus der Führungs- und Organisationsperspektive zum Erfolg zu verhelfen:
- Profil des CISOs schärfen: Unternehmen müssen dem Input bzw. der Position von Führungskräften aus dem Bereich der IT-Security mehr Prominenz einräumen und ihnen die Autorität verleihen, die sie benötigen, um effektive Prozesse zu entwerfen, Lücken zwischen Abteilungen zu schließen und Maßnahmen zum Schutz des Unternehmens durchzusetzen.
- Direkter Zugang zur C-Ebene: Wenn es um IT-Security geht, funktionieren herkömmliche Strukturen von Befehl und Kontrolle nicht immer ganz reibungslos. Eine horizontale, nicht vertikale Ausrichtung wäre günstiger, da Abteilungen übergreifend zusammenarbeiten müssen, um Cyber-Bedrohungen erfolgreich zu bewältigen. Die Position der CISO-Expertise ist bei der Entscheidungsfindung zu priorisieren. Dafür brauchen CISOs den direkten Zugang zu hochrangigen Führungskräften der C-Ebene. Zu diesem Zweck empfiehlt sich die Erarbeitung neuer Governance-Frameworks und Berichtsstrukturen.
Wege zum Leadership der IT-Security
Ein effektiv arbeitender CISO beherrscht nicht nur die relevanten Technologien, sondern auch die Geschäftsstrategie. Er besitzt zudem die Fähigkeit, sich zu engagieren und sein Umfeld zu inspirieren. Über folgende Skills sollte er unter anderem verfügen:
- CISOs etablieren eine unternehmensweite IT-Security-Kultur, indem sie bedrohungsresistente Systeme erstellen bzw. warten und Risiken in eine breitere Risiko-Strategie integrieren.
- CISOs müssen für ein Mehr an Effektivität ihre Sicherheitsbudgets überdenken. Die Budgets steigen zwar in vielen Unternehmen an, aber sie sind häufig nicht richtig auf die Bereiche mit den größten Risiken ausgerichtet. Das bedeutet, sie führen so zu einem allgemeinen Mangel an Vertrauen in die Sicherheitsbudgetierung. Um das Vertrauen zu stärken, sollten die Kosten stattdessen als Teil des gesamten Geschäftsbudgets „auf strategische, risikoorientierte und datengesteuerte Weise“ betrachtet werden.
- Aufgrund einer solchen Neuausrichtung der CISO-Rolle, sollten sie sich in den Unternehmen zu sogenannten „Hütern des digitalen Vertrauens“ entwickeln. Das heißt, der CISO wird dadurch in die Lage versetzt, eine Organisation mit seinen Leadership-Strategien nicht nur sicher in eine neue Ära zu führen, sondern auch den Geschäftswert zu optimieren.
- CISOs müssen Resilienz-Pläne erstellen, die alle Eventualitäten berücksichtigen: von sehr wahrscheinlichen Angriffen mit geringer Auswirkung bis hin zu vielleicht eher unwahrscheinlichen, aber dafür verheerenden Angriffen. Es empfiehlt sich, für die Führungskräfte ein Schaubild mit Wahrscheinlichkeiten/Auswirkungen zu erstellen (Achsen von geringer bis hoher Wahrscheinlichkeit und geringen bis hohen Effekten), um Budgets den einzuleitenden Maßnahmen zuzuweisen. Dabei sind Angriffe mit geringerem Risiko nicht zu ignorieren, sondern es gilt zu überprüfen, mit welchen Auswirkungen auf die Branche bzw. das eigene Unternehmen zu rechnen sind.
- CISOs informieren Entscheidungsträger über aktuelle und zukünftige Risiken für das Unternehmen. Gleichzeitig liefern sie eine Priorisierung hinsichtlich der Gefährlichkeit gegenüber der Geschäftstätigkeit.
- CISOs, die Spitzenleistungen anstreben, initiieren Diskussionen über zu entwickelnde Standards, um potenziellen Bedrohungen einen Schritt voraus zu sein.
- CISOs sollten verschiedene Interessengruppen untereinander in Einklang bringen, indem sie jedem genau das richtige Maß an Informationen und Unterstützung bieten. Insbesondere wenn es darum geht, IT-Risiken zu verstehen und zu managen.
- Sie sollten dazu befähigt sein, Überzeugungskraft mit Fähigkeiten zur Konfliktbewältigung zu vereinbaren. Vor allem, da die Sicherheit häufig per se eine Quelle von Spannungen oder Konflikten ist.
- CISOs müssen mit Mehrdeutigkeiten und kritischen Situationen umgehen können. Denn Fragestellungen der IT-Security sind nicht immer binär strukturiert. Sie müssen gegebenenfalls auch lernen, sich bei Mehrdeutigkeiten von Geschäftsabläufen und Geschäftsentscheidungen wohlzufühlen.
Fazit
Für einige CISOs wird die Übernahme bzw. Verfeinerung dieser Leadership-Strategien eine natürliche Weiterentwicklung ihrer bisherigen Verantwortlichkeiten sein. Für andere wiederum erfordert es möglicherweise mehr Feedback und Mentoring von anderen Führungskräften oder auch externen Beratern. Die Führungsqualitäten der CISOs sollten sich ständig in Richtung dessen entwickeln, was von Top-Level-Führungskräften verlangt wird.
Das bedeutet, dass CISOs in der Lage sein müssen, eine effektive IT-Security-Strategie zu etablieren, den verantwortungsvollen Umgang mit Investitionen in IT-Security nachzuweisen, die oberste Führung bzw. den Vorstand regelmäßig zu informieren und mit Überzeugungskraft und Leichtigkeit die Vielzahl von Interessengruppen und Beziehungen zu handhaben, die sich jetzt im Einflussbereich des CISOs befinden.
(ID:49214922)
:quality(80)/p7i.vogel.de/wcms/d6/b6/d6b6d8ae294bb8b8833be00b155b3fe1/0109366079.jpeg "CISOs jonglieren nicht nur mit technischen Herausforderungen, sondern auch mit geschäftlichen Verantwortlichkeiten. (Bild: olly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/41/2941da66b975d2e974dc0afd28f9652b/0110819420.jpeg "Reifegradmodelle tragen dazu bei, IT-Security-Programme zu optimieren und schließlich Risiken in einem digitalen Ökosystem zu mindern. (Bild: Andrii Yalanskyi - stock.adobe.com)")