Neue CISOs sollten sich mehr auf Menschen und weniger auf Technik konzentrieren, so ein Bericht

Cyber Security News

Twitter-Zentrale. Im vergangenen September stellte Twitter Rinki Sethi als neuen Chief Information Security Officer ein. Andere große Unternehmen, die kürzlich einen neuen CISO installiert haben, sind Uber und Square. (Justin Sullivan / Mitarbeiter)

Jedes Unternehmen steht vor seinen eigenen technischen und sicherheitstechnischen Herausforderungen, aber eine neue Studie zeigt, dass die meisten neu eingestellten Chief Information Security Officers am besten damit bedient wären, wenn sie sich zunächst auf ihre Mitarbeiter und nicht auf ihre Systeme und Prozesse konzentrieren würden.

Einem neuen Bericht von Forrester zufolge, der sich auf Interviews mit Dutzenden von Sicherheitsverantwortlichen stützt, sind die ersten Monate eines CISOs ebenso ein Test für seinen politischen Scharfsinn und seine Fähigkeiten zum Aufbau von Beziehungen wie für seine technischen Fähigkeiten oder Pläne zur digitalen Transformation.

Aus den Untersuchungen und Interviews, die mit CISOs geführt wurden, kristallisierten sich zwei Hauptthemen heraus. Das erste ist, dass die Entwicklung menschlicher Beziehungen für den frühen Erfolg eines CISOs entscheidender ist als die Beherrschung der technischen Details. Zweitens: Während es praktisch unmöglich ist, die größten Sicherheitsprobleme eines Unternehmens in den ersten 100 Tagen zu lösen oder anzugehen, ist es definitiv möglich, andere Geschäftsbereiche zu verärgern und die Marke des Sicherheitsteams in den Augen von Kollegen und Mitarbeitern irreparabel zu schädigen.

Neue Sicherheitsverantwortliche sollten trotzdem einen detaillierten Plan haben, wie sie die ersten Monate angehen, aber einen, der auch flexibel und anpassungsfähig ist, da er wahrscheinlich aktualisiert werden muss, wenn neue Informationen eintreffen. Neben der Darstellung der wichtigsten Sicherheitsprobleme sollten diese Pläne auch Fragen berücksichtigen, wie z. B. warum das Unternehmen überhaupt einen neuen CISO benötigt (wurde der Vorgänger gefeuert oder hatte das Unternehmen überhaupt einen?), ob es in letzter Zeit eine ernsthafte Datenverletzung gab und wie Sicherheitsprobleme in der Befehlskette nach oben und unten kommuniziert werden.

Jeff Pollard, Vice President, Principal Analyst und Hauptautor des Forrester-Berichts, sagte gegenüber SC Media, dass CISOs immer wieder die Fähigkeit, positive Beziehungen zu pflegen, als wichtigste Eigenschaft zu Beginn einer Stelle anführen.

“Die eine Sache, die einheitlich war [in interviews] ist, dass die Technologie der einfache Teil ist, und es ist der Teil, den die meisten Sicherheitsteams und Führungskräfte bereits kennen”, sagte Pollard. “Unternehmen sind große Ökosysteme von Menschen, und man muss in der Lage sein, darin zu navigieren.”

Ein neuer CISO könnte speziell dafür eingestellt worden sein, die Sicherheitspraktiken des Unternehmens zu transformieren oder mit den Fehlern des alten Regimes aufzuräumen. Dennoch argumentieren die Forscher, dass neue Sicherheitsverantwortliche dem Impuls widerstehen sollten, sich bei Kollegen und Gleichgesinnten vorzustellen, indem sie explizit vergangene Richtlinien oder Entscheidungen kritisieren, die von der vorherigen Führung eingeführt wurden, und andere aggressive oder feindselige Kommunikation in den ersten Wochen vermeiden sollten.

Auch wenn große Veränderungen oder Reformen anstehen, wollen viele Mitarbeiter sicherstellen, dass ihre Führungskräfte die Bedingungen und spezifischen Nuancen verstehen, unter denen frühere Entscheidungen getroffen wurden. Diese Entscheidungen zu kritisieren, ohne den historischen Kontext zu kennen, “schreit nach Unreife als Führungskraft, insbesondere bei gleichrangigen Führungskräften”, schreiben die Autoren.

Stattdessen sollten sich die ersten Wochen und Monate der Amtszeit einer Führungskraft auf den Aufbau und die Wiederherstellung des Vertrauens zwischen der Sicherheitsabteilung und dem Rest der Organisation konzentrieren. Dies ist in der Regel ein guter Ansatzpunkt, da viele Sicherheitsteams im eigenen Unternehmen nicht besonders beliebt sind. Sicherheit wird intern oft als Hindernis oder Hemmschuh für die Implementierung neuer Ideen oder Prozesse wahrgenommen. Sich dieser Dynamik bewusst zu sein und ein breiteres Rahmenwerk des Vertrauens und der Kommunikation mit direkten Untergebenen und anderen Geschäftseinheiten zu schaffen, ist oft ein wichtiger Schritt, den CISOs zu Beginn ihrer Amtszeit priorisieren sollten.

Pollard sagte, dass die ersten drei Monate der Amtszeit eines CISOs oft ein kritisches Zeitfenster sind, um auf respektvolle und nicht wertende Weise einen Bruch mit vergangenen Praktiken oder den Wunsch zu signalisieren, zerbrochene Beziehungen zu reparieren. Es ist auch die beste Zeit, um sich mit den einzelnen Mitgliedern des Sicherheitsteams vertraut zu machen und potenziell schädliche Mitarbeiter auszusortieren, die dem Ruf des Sicherheitsteams bei anderen Geschäftseinheiten schaden könnten.

“In manchen Unternehmen gibt es verbrannte Erde… oder Probleme, die frühere Sicherheitsregime verursacht haben, weil sie vielleicht nicht so gut mit dem Rest der Organisation verbunden waren, vielleicht als Hindernis oder Beeinträchtigung angesehen wurden und nicht als eine Gruppe, die helfen würde”, sagte Pollard. “Ich denke, wir haben viel getan, um dieses Image der Vergangenheit zu überwinden… aber es ist auch so, dass man in den ersten 100 Tagen versehentlich wieder in dieses Bild zurückfallen kann, wenn man Dinge falsch macht.”

Der Gedanke, dass der Mensch wichtiger ist als die Technologie und dass man in der Anfangsphase eines neuen Jobs Vorsicht walten lassen sollte, wurde auch von anderen CISOs geäußert. Rick Holland, ein CISO bei Digital Shadows, der für den Forrester-Bericht interviewt wurde, sagte gegenüber SC Media, dass das Erfassen der Bedürfnisse und Motivationen der Kollegen und Kollegen für frisch gebackene CISOs oft eine höhere Priorität hat als das Erfassen der Bedrohungslandschaft.

“Beziehungen werden die Grundlage für alle Arbeiten sein, die der CISO zu erledigen hat”, so Holland. “Wer sind die wichtigsten Stakeholder? Was ist diesen Geschäftspartnern wichtig? Was motiviert sie? Was sind ihre Geschäftsziele? Diese Antworten zu verstehen, wird dem CISO helfen, eine Roadmap zu entwickeln und die menschlichen Komponenten der Organisation zu steuern.”

Wenn man sich die Zeit nimmt, ein genaueres Verständnis der technologischen Umgebung zu erlangen und zu verstehen, wie das Unternehmen zum Status quo gekommen ist, kann man auch die Art von Basiskompetenz und Rücksichtnahme demonstrieren, an die man sich noch lange nach dem Ende der Flitterwochen erinnern könnte.

“Aus persönlicher Erfahrung kann ich sagen, dass es nichts Schlimmeres gibt, als wenn ein neuer Mann auftaucht und seine eigene Agenda einem bestehenden Team aufzwingt, ohne zu evaluieren, was bereits in Bewegung ist und wie diese persönliche Agenda mit der bestehenden Dynamik zusammenpasst”, schrieb Netenrich CISO Chris Morales in einer E-Mail. “Es ist großartig, eine Vision zu haben, die auf vergangenen Erfahrungen basiert, aber es ist noch wichtiger, die neue Kultur zu umarmen und die wichtigste Ressource, die man hat, nicht zu entfremden – Menschen mit vorhandenem Wissen über die Landschaft und die den Grundstein für den zukünftigen Erfolg gelegt haben.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com