Security Manager

Neu als CISO oder Sicherheitsverantwortlicher – was nun?

| Autor / Redakteur: Stefan Sulistyo, CISSP / Stephan Augsten

Eine Beförderung zum Sicherheitsverantwortlichen ist erfreulich, bringt aber auch einige Herausforderungen mit sich.
Eine Beförderung zum Sicherheitsverantwortlichen ist erfreulich, bringt aber auch einige Herausforderungen mit sich. (Bild: Archiv)

Haben Sie eine neue Stelle als Chief Information Security Officer (CISO), Chief Security Officer (CSO), Leiter Informationssicherheit oder ähnliches angetreten? Herzlichen Glückwunsch! Es kann ein großartiger Job sein oder Ihr schlimmster Albtraum – manchmal sogar annähernd zur gleichen Zeit.

Zunächst einmal lassen Sie mich sagen: Ich kenne das Umfeld des IT-Security-Verantwortlichen und habe die entsprechenden Narben und Referenzen als Beweis. Ich möchte Ihnen ein paar Tipps für die ersten Tage, Wochen und Jahre geben. Doch zuerst erzähle ich Ihnen einige mögliche Geschichten über Sie und Ihren neuen Beruf, die die Erfahrungen als CISO beeinflussen könnten – oder auch Themen, die Sie persönlich weiterentwickeln sollten:

Ehemalige CISOs in anderen Unternehmen und/oder Branchen

Sie wissen genau worum es geht, jedoch müssen Sie sich ggf. an eine andere Branche oder Unternehmensgröße gewöhnen. Zumindest wird sich sehr wahrscheinlich die Unternehmenskultur von Ihrer vorherigen Organisation unterscheiden und wie wir alle wissen: Culture eats strategy for breakfast.

Ehemalige Berater mit Security-Management Hintergrund (zB Ex-Big4)

Die letzten Jahre haben Sie sich mit der Informationssicherheit vornehmlich in Powerpoint beschäftigt. Vornehmlich trafen Sie auf Alpha-Persönlichkeiten von Partnern und Kunden, die entweder nicht wirklich wissen was sie wollen bzw. brauchen (oder aber sie wissen genau was sie wollen, doch es ist am Ende nur ein internes Machtspiel).

Wahrscheinlich haben Sie ursprünglich einen technischen Hintergrund (z.B. Informatik). Der einzige Code, den Sie seit Jahren angefasst haben, sind allerdings komplizierte sverweis-Formeln in Excel. Sie sind jedoch auch ein bisschen stolz darauf, dass ihre Tabellen den Prozessor eines typischen Laptops lahmlegen.

Religiös lesen Sie die diversen Security Blogs à la Bruce Schneier, Grugq, Brian Krebs oder The Hacker News (und nicht zu vergessen: Taylor Swift), um auf dem Laufenden zu bleiben. Sie sind auch fest davon überzeugt, dass sie immer noch tief in diese Themen einsteigen könnten, wenn Sie es denn nur wollten und die Zeit investierten.

Doch nun kommt das böse Erwachen und die Erkenntnis, dass Sie eigentlich gar nicht so genau wissen, wie man ein erfolgreiches Informationssicherheits-Management auf dem echten „Schlachtfeld„ aufzieht und dass der Arbeitsmodus sehr anders als bisher ist: Eine Million Dinge prasseln gleichzeitig auf Sie ein – vielleicht hatten die alten Kunden doch Recht, als sie damals keine Zeit hatten, Ihre Fragen jetzt genau in diesem Moment zu beantworten.

Ehemalige technische InfoSec-Berater, PenTester, SecOps-Mitglied, Incident-Responder, Forensik-Spezialisten

Sie waren die Elite für das, was Sie taten, also insbesondere offensive Security-Operations, Monitoring von Servern und Steuerung der Bytes, die durch das Netzwerk schießen. Schließlich ist dies auch das einzige, was man wissen muss, um etwas abzusichern: Sicherheit ist ein Technikproblem und muss durch Technik gelöst werden, korrekt? Wer braucht denn diesen ganzen Management-Mist?

Nun, willkommen in der Welt von Budgets und Politik und der Realität von divergierenden Prioritäten und gegensätzlichen Zielen in komplexen Organisationen. Sie werden feststellen, dass es in der Tat wichtig ist, wie Sie hochkomplexe technische Themen strukturieren und Risiken so zu kommunizieren, dass Fachbereiche und der Vorstand tatsächlich auch verstehen, worüber Sie reden.

Das Balancieren all dieser verschiedenen Stränge ist inhärent ein Menschen-Thema und auch mehr eine Kunst als eine Wissenschaft. Vielleicht realisieren Sie sogar, dass Sicherheit (mehr als die meisten anderen IT-fokussieren Themen) im Kern nur um Menschen geht und die Technik dieses nur unterstützt.

Andere Rolle in der IT-Abteilung desselben Unternehmens

Sie kennen das Unternehmen schon sehr gut und auch alle wichtigen Akteure – und selbstverständlich haben die Fachbereiche keine Ahnung von Technik, nur Sie wissen es besser. Außerdem haben Sie sich ja auch bereits um Security gekümmert, als Sie der Administrator für das Active Directory oder das Netzwerk waren. Was kann da schon schiefgehen?

Nun, als erstes sollten Sie so schnell wie möglich akzeptieren, dass Sie nicht mehr Teil der IT sind, auch wenn Sie möglicherweise formell in dieser Abteilung aufgehängt sind. Sie müssen nun eine andere Rolle spielen und manche Ihrer Ziele werden diametral gegensätzlich zu denen der IT sein. Außerdem sollten Sie sich damit anfreunden, dass einige Ihrer Erfahrungen zu Security bestenfalls veraltet sind (Netzwerk-Firewalls und Antivirus zum Beispiel?). Im schlimmsten Fall sind sie sogar völlig falsch.

Also, was sollte man tun?

Lassen Sie mich dies in verschiedene Zeitabschnitte unterteilen, um Ihnen zielgerichtete Hinweise zu geben:

Vor dem Start

Befinden Sie sich noch in der Auswahl bzw. Verhandlung für die Position, stellen Sie unbedingt diese Fragen:

  • Was sind die derzeitigen Kernprioritäten Ihrer Organisation?
  • Wo ist die Security organisatorisch aufgehängt und wie laufen die Berichtswege?
  • Was ist der Grund, diese Stelle jetzt zu besetzen? (Nachfolge, neu eingerichtet)
  • Wie läuft der Budget-Prozess ab?

Zudem sollten Sie auch schon im Vorfeld von Vorstellungsgesprächen und dann vor Antritt der Stelle entsprechende Recherche über die Branche und das Umfeld der Organisation betreiben. Es wird später noch sehr wichtig werden, dass Sie genau verstehen, was die geschäftlichen Prioritäten der Organisation sind.

Die erste Woche

Sobald Sie den Job antreten, bekommen Sie Zugriff auf die Interna. Nutzen Sie diese Tage, in denen noch niemand zu sehr Ihre Zeit beansprucht. Wenn Ihr Vorgänger noch zur Übergabe da ist, nutzen Sie das, um Informationen über aktuelle Situation, Projekte und wichtige Stakeholder zu bekommen.

Ist ein Security-Team vorhanden, stellen Sie sich vor und nehmen Sie sich die Zeit, mit jedem Mitglied einzeln zu sprechen. Überfliegen Sie außerdem auch möglichst viel Dokumentation aus der letzten Zeit und klicken Sie sich durch vorhandene Netzwerkordner und Sharepoints.

Der erste Monat

Dies ist die Zeit zum Aufbauen von Beziehungen und des Netzwerkens im Unternehmen. Selbst wenn Sie vorher schon in dieser Organisation waren, sollten Sie dies gewissenhaft tun, da Sie neue Verbündete brauchen. Das Verhältnis zu vorherigen engen Kollegen könnte sich möglicherweise ändern. Hier ein paar Rollen, bei denen es sich lohnt, frühzeitig auf einen Kaffee oder ähnliches vorbei zu schauen:

  • IT-Leiter / CIO
  • Datenschutz
  • Rechtsabteilung
  • Unternehmenskommunikation und Pressesprecher
  • Customer Service
  • Innenrevision
  • Personalleitung
  • Betriebsrat
  • Facility Management (bzw. wer bei Ihnen für physische Sicherheit verantwortlich ist)
  • Vorstandsassistenz

Die ersten 100 Tage

In politischen Ämtern gelten die ersten 100 Tage ja üblicherweise als Welpenschutz bzw. zur Vorlage einer Strategie und eines Plans. Machen Sie es genauso! Der erste Schritt ist da eine Bewertung des Ist-Zustands. Dafür können Sie sich Standards und Vorlagen a la ISO 27000 nehmen oder auch Benchmarking-Tools zur Security-Reifegradmessung (sofern diese Tools keine lange Vorbereitungszeit erfordern).

Picken Sie sich die Kronjuwelen heraus, also die Informationen, Prozesse und Organisationsteile mit dem höchsten Schutzbedarf, und „umkreisen“ Sie diese, um die wichtigsten Abhängigkeiten zu finden (z.B. IT-Systeme, Zulieferer, Standorte) und führen Sie dort zuerst Ihre Reifegradmessungen durch. Damit können Sie die wesentlichen technischen und organisatorischen Schwachstellen herausfinden.

Gruppieren Sie diese in verschieden Themen und mögliche zusammenhängende Projekte. Stellen Sie die Abhängigkeiten dar und priorisieren Sie die Themen (größte Risiken zuerst bzw. Maßnahmen mit Abdeckung vieler verschiedener Risiken, d.h. höchster Return-on-Invest). Dies wird ihr strategischer Dreijahresplan und der Kern Ihres InfoSec-Programms.

Lassen Sie sich die Risikobetrachtung und den Mitigierungsplan von der Unternehmensleitung absegnen bzw. verlangen Sie klare, dokumentierte Aussagen, welche Risiken vorerst akzeptiert werden. Kommunizieren Sie den Plan an alle Betroffenen.

Das erste Jahr

Starten Sie nun die ersten Projekte aus Ihrem Plan. Ich empfehle Ihnen stark, sich hier nicht zu überfrachten. Selbst wenn Sie das Budget dafür leicht bekommen sollten (wenn die Risikoargumentation schlüssig war, ist das eigentlich kein Problem), Sie selbst und Ihr Team werden nur begrenzte „PS auf die Straße bekommen“. Security-Projekte können zudem auch schmerzhaft für die restliche Organisation sein und große Veränderung in deren Abläufen bedeuten, die Sie nur begrenzt verkraften.

Meine Empfehlung: Starten Sie am Anfang nicht mehr als drei parallele neue Security-Projekte. Und eines dieser ersten Projekte sollte die Erstellung oder Verbesserung eines Incident-Response Plans sein und dessen simulierte Übung mit allen wichtigen Stakeholdern (siehe die „Kaffee-Liste„ von oben).

Die ersten drei Jahre

Überprüfen Sie Ihren Plan mindestens einmal jährlich und berichten Sie dies der Unternehmensleitung um den Plan ggf. gemeinsam anzupassen. Führen Sie Ihren Projekte durch und kommunizieren Sie Erfolge. Lernen Sie aus den operativen Themen und optimieren Sie diese ggf. als weitere Projekte im Sinne kontinuierlicher Verbesserung.

Stefan Sulistyo
Stefan Sulistyo (Bild: Alyne)

Möglicherweise gab es IT-Sicherheitsvorfälle. Nutzen Sie die Erkenntnisse daraus für breit gefächerte Awareness-Maßnahmen innerhalb und außerhalb der Organisation und reden Sie so offen wie möglich darüber (Okay der Unternehmensleitung und -Kommunikation dafür einholen bzw. diese in die Awareness-Maßnahmen einbinden).

* Stefan Sulistyo ist Mitgründer und Geschäftsführer der Alyne GmbH. Zuvor sammelte er über zehn Jahre lang Erfahrung im Management von IT-Sicherheit in verschiedenen großen Unternehmensberatungen bei Großkunden in diversen hochregulierten Branchen. Zudem war er in leitender Position verantwortlich für IT-Sicherheit bei einem führenden Medien- und Telekommunikationsunternehmen. Sulistyo ist Mitglied bei (ISC)² und ISACA und verfügt über Zertifizierungen als Certified Information Systems Security Professional (CISSP) und Certified Information Systems Auditor (CISA).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44180489 / Security Best Practices)