Hohe Anforderungen an CISOs

Warum CISOs gute Psychologen sein müssen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Ein CISO sollte psychologische Grundkenntnisse besitzen. Nicht nur, weil es ihm beim Umgang mit seinen Mitarbeitern hilft, sondern auch wenn man Angreifer von außen und von innen verstehen will.
Ein CISO sollte psychologische Grundkenntnisse besitzen. Nicht nur, weil es ihm beim Umgang mit seinen Mitarbeitern hilft, sondern auch wenn man Angreifer von außen und von innen verstehen will. (Bild: gemeinfrei)

Die Fähigkeiten eines CISO müssen breit gefächert sein. Technisches Know-how, Security-Expertise, Management-Qualitäten und Wissen im Bereich Recht und Compliance gehören dazu. Doch auch Psychologie spielt eine große Rolle bei den Aufgaben eines CISOs. Das gilt nicht nur für Führung und Motivation von Beschäftigten, es betrifft nahezu jede Tätigkeit eines CISOs.

Die Arbeit eines IT-Sicherheitsverantwortlichen, bzw. eines CISO ist zweifellos anstrengend, wegen der Fülle und Dynamik der Aufgaben, den steigenden Risiken, sowie den immer neuen Verfahren bei Angriff und bei Abwehr. Nicht zuletzt aber auch deshalb, weil CISOs nicht immer alle Befugnisse und Budgets haben, die sie bräuchten. So kommt es auch, dass mancher CISO zwar IT-Sicherheitsverantwortlicher genannt wird, aber die letzte Verantwortung für Security gar nicht bei ihr oder ihm liegt.

Der CISO muss sich verändern!

CISO und Digitale Transformation

Der CISO muss sich verändern!

22.03.19 - Die Aufgaben und Rollen eines CISOs (Chief Information Security Officer) haben sich noch nicht gefestigt, im Gegenteil. Die IT-Sicherheits­verantwortlichen in den Unternehmen unterliegen einem stetigen Wandel. Unter den Veränderungen sind auch solche, die zu einer weiteren Aufwertung des CISOs und der Security führen können. Aktuelle Studien erlauben einen Blick in diese Zukunft. lesen

Eine solche Situation kann unzufrieden machen. Wie die Studie „ISACA’s State of Cybersecurity 2019 Survey: Retaining Qualified Cybersecurity Professionals Increasingly Challenging for Organizations“ zeigt, haben Unternehmen zunehmend Schwierigkeiten, ihre Security-Experten zu halten. Während 57 Prozent der Befragten angeben, dass ihre Organisationen mehr Schulungen anbieten, um Anreize für die Verbleib von Personen innerhalb der Organisation zu schaffen, geben 82 Prozent an, dass die meisten Personen ihr Unternehmen wegen finanzieller und beruflicher Anreize verlassen, wie beispielsweise höhere Gehälter, Boni und Beförderungen.

Viel Verständnis für Mitarbeiterinnen und Mitarbeiter

Über die „Schwachstelle Mensch“ wird viel berichtet, und tatsächlich lassen sich viele IT-Sicherheitsvorfälle auf Fehlverhalten, Unwissenheit und mangelnde Vorsicht zurückführen. Trotz einer Vielzahl an Sicherheitstrainings und Awareness-Maßnahmen machen die Mitarbeiterinnen und Mitarbeiter immer noch diese Fehler, die teilweise für einen Security-Experten wie „blöde Fehler“ erscheinen.

Ein Beispiel aus der fünften jährlichen CISO Benchmark Studie von Cisco: Mitarbeiter und Nutzer stellen demnach weiterhin eine der größten Herausforderungen für viele CISOs dar. Nur 51 Prozent sind mit ihren Prozessen für die Sicherheit der Mitarbeiter sehr zufrieden. Nun gilt es zum einen, dass man als CISO nicht etwa verzweifelt an der scheinbaren Unbelehrbarkeit der Mitarbeiterinnen und Mitarbeiter, ein weiteres Thema für Eigenmotivation. Aber man muss auch verstehen, warum die Beschäftigten so reagieren und selbst die besten Tipps und Tools zu versagen scheinen.

Security hat viel mit Unternehmenskultur zu tun, mit Einfühlungsvermögen und einer guten Portion Verständnis für die Probleme des normalen Nutzers. Auch hier kann es hilfreich sein, wenn man sich als CISO auch im psychologischen Bereich informiert, um das Rüstzeug zu haben.

Welche Aufgaben ein CISO übernehmen muss

Die Rolle des CISO im Unternehmen

Welche Aufgaben ein CISO übernehmen muss

22.02.19 - IT-Sicherheit geht jeden Mitarbeiter und jede Abteilung an. Welche Aufgaben verbleiben dann in der Abteilung für IT-Security? Welche Rolle hat der CISO (Chief Information Security Officer) im Unternehmen? Die Antwort erscheint einfach, ist sie aber nicht. Die Aufgaben unterliegen einer hohen Dynamik und werden nicht nur durch Compliance-Vorgaben beeinflusst. lesen

Angreifer und Innentäter verstehen

Psychologie gehört auch dazu, wenn man die Angreifer von außen und die von innen verstehen will, im Sinne von durchschauen. Als CISO muss man fast schon ein Bauchgefühl für neue Attacken haben und wissen, wie ein Angreifer tickt, was er vorhat, was die Motive sind.

Das gilt ganz besonders für die Innentäter, denn hier soll es nicht zu unbegründeten Verdachtsmomenten kommen, sondern die wirklichen kriminellen Insider müssen erkannt und enttarnt werden. Hier gilt es, die notwendigen Kontroll- und Überwachungsmaßnahmen so zu erklären, dass die Mitarbeiterinnen und Mitarbeiter nicht denken, sie stehen unter Generalverdacht. Gleichzeitig muss man als CISO ein Gefühl dafür entwickeln, warum jemand zum Innentäter wird. Wichtige Antworten liefert auch hier die psychologische Forschung.

Keine Sicherheits-Updates aus Angst vor Problemen

Neue Tanium Umfrage unter CIOs und CISOs

Keine Sicherheits-Updates aus Angst vor Problemen

04.04.19 - Weltweit halten sich CIOs und CISOs bei der Umsetzung relevanter Security-Maßnahmen zurück, obwohl diese für die Widerstands­fähig­keit gegenüber Störungen und Cyber-Gefahren entscheidend wären. 90 Prozent der befragten CIOs and CISOs in Deutschland führten ein wichtiges Sicherheitsupdate oder einen Patch nicht durch, aus Sorge vor möglichen negativen Auswirkungen auf den Geschäftsbetrieb. lesen

Andere Führungskräfte erreichen

Studien wie „Securing the C-suite“ haben die Situation im Management beleuchtet. Besonders schwierig ist es oftmals, im Management selbst für mehr Security zu sorgen, denn trotz der hohen Risiken ist hier der Wunsch nach Ausnahmen bei IT-Sicherheitsrichtlinien besonders hoch. Dann stellt sich die Frage, wie man am besten den anderen Führungskräften klar macht, dass die Vorgaben nicht nur auch für sie, sondern ganz besonders für sie gelten.

Die Treffen im Kreis der Führungskräfte sind häufig ein entscheidender Ort, um den notwendigen Rückenwind für Security-Vorhaben zu bekommen. Wenn man die Kolleginnen und Kollegen im Management nicht für sich und für die Security gewinnt, dann wird es wirklich schwierig. Deshalb hilft es zu wissen, wie man die Manager sensibilisiert, denn Argumente wie „Dein Vorgesetzter will das so“ greifen hier nicht. Man muss die Motive des Managements, die Ziele und die täglichen Probleme kennen, um den richtigen Zugang zu finden.

Cyber-Risiken erkennen, bewerten und abwehren

Neues eBook „Cyber Risk Management“

Cyber-Risiken erkennen, bewerten und abwehren

02.04.19 - Das Cyber Risk Management bildet die Basis für die Cyber Security Strategie eines Unternehmens. Lücken im Cyber Risk Management führen deshalb zu einer unvollständigen Cyber-Sicherheit. Das neue eBook erklärt, was alles zu den Cyber-Risiken gerechnet werden muss, wie die Risiken im Cyber-Raum priorisiert werden können und warum die Cyber-Abwehr mehr als reine Technik umfasst. lesen

Auch die Partner und Dienstleister nicht vergessen

Eine weitere Personengruppe steht häufig im Austausch mit den CISOs, die Anbieter und Dienstleister für Security und die verschiedenen Projektpartner in der IT und in Fachbereichen, in denen die Digitalisierung Einzug hält. Für die Suche, Auswahl, Kontrolle und regelmäßige Zusammenarbeit im Bereich Partner ist neben fachlichen Wissen und organisatorischen Geschick auch Fingerspitzengefühl gefragt. Das gilt generell, doch für CISOs noch einmal besonders. Der Grund: Verantwortliche für IT-Sicherheit setzen vor allem auf die Konsolidierung der Anbieter in komplexen Sicherheitsumgebungen. Das zeigt die fünfte jährliche CISO Benchmark Studie von Cisco. Entsprechend setzt sich der Trend zur Anbieter-Konsolidierung fort: Während 2017 noch 54 Prozent der Befragten weniger als 11 Anbieter nutzten, sind es jetzt 63 Prozent.

Dann stellt sich die Frage: Wer sind die richtigen Anbieter? Wie trenne ich mich von den anderen, die ich vielleicht später aber doch einmal brauche? Das hat nicht nur mit Vertragsrecht, sondern ebenso mit Psychologie zu tun, denn es geht auch hier immer um Menschen und die richtige Kommunikation mit ihnen.

CISO, Security Manager oder IT-Sicherheitsbeauftragter?

Rollen und Aufgaben in der IT-Sicherheit

CISO, Security Manager oder IT-Sicherheitsbeauftragter?

03.11.17 - Als ob Security nicht komplex genug wäre, gibt es für die Rollen und Aufgaben in der Security eine Vielzahl von Bezeichnungen. Das ist nicht nur verwirrend, sondern auch riskant. Gibt es keine klare Zuordnung zwischen Rolle und Aufgabe kann das zu organisatorischen Lücken im Security-Konzept des Unternehmens führen. lesen

Künstliche Intelligenz hilft in der Security-Ausbildung

Fortbildung in der IT Security

Künstliche Intelligenz hilft in der Security-Ausbildung

17.11.17 - Security-Experten sind inzwischen weltweit zu einem raren Gut geworden. Immer mehr Stellen für Fachleute im Bereich IT-Sicherheit bleiben unbesetzt. Dennoch sind IT-Experten der Meinung, dass Unternehmen zu wenig Fortbildungen im Bereich IT-Sicherheit anbieten. KI alleine kann den Mangel an Fachkräften in der IT-Sicherheit nicht beheben. Doch KI-basierte Schulungsmethoden können in der Fortbildung helfen. lesen

Was bringen persönliche Security-Zertifizierungen?

Zertifizierungen in der IT-Sicherheit

Was bringen persönliche Security-Zertifizierungen?

24.11.17 - CISSP, CSP, CEH: Security-Zertifizierungen für Personen. Mancher Security-Praktiker belächelt sie, manches Stellenangebot fordert sie explizit. Wer sich als Security-Experte zertifizieren lassen will, hat es in jedem Fall nicht leicht, denn es gibt eine Vielzahl an unterschiedlichen Zertifizierungsstellen, Trainingsanbieter und Zertifizierungen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45860496 / Mitarbeiter-Management)