Mensch oder KI? Was gefällt dir besser?
Feedback an
Angeregt durch einen Artikel, habe ich mich mit der Frage beschäftigt, welche Eigenschaften einen guten CISO ausmachen.
Primär denke ich an die Erfahrung.
Nach 40 Jahren habe ich so ziemlich alle Aspekte der IT kennen lernen können.
- Administrator
- Manager Managed Service
- IT-Leiter
- Vom Großrechner über den PC zum „Mobile“
- Trainer und Referent
- Programmierer
… um nur Einige zu nennen.
Dann das Thema „Leidenschaft für Legal“
In über 20 Jahren – in denen ich intensiv für und mit Rechtsanwälten tätig war – konnte ich sehr viel über deren Denkweisen aber auch zur „Juristerei“ allgemein lernen.
Auch wenn mir Gesetzestexte, Normen und Richtlinien immer noch teils schwerfallen, so macht es doch auch Spaß sich mit deren Interpretationen zu beschäftigen.
Weiter geht es mit der Fähigkeit, sehr strukturiert und sachbezogen denken zu können. Und zwar auch unter Stress und hohem Druck.
Als CISO kann man sehr schnell in eine Situation kommen, in der Risiken abgewogen und Entscheidungen getroffen werden müssen.
Unter Umständen muss man dann auch eine hohe Verantwortung tragen – für sich, das Unternehmen und andere.
Damit wären wir schon bei den Fähigkeiten als „Coach und Leader“.
Nicht alle Aufgaben müssen vom CISO erledigt werden. Viele Dinge können von einem internen oder einem externen Team erledigt werden.
Dabei darf man nicht den „Boss“ raushängen, sondern muss mit allen Personen auf der richtigen Ebene und auf die passende Art und Weise zusammenarbeiten.
Situationen können sich – besonders im Krisenfall – schnell ändern.
Starre Regeln oder eigefahrene Denk- und Verfahrensweisen sind dabei hinderlich.
Ein CISO sollte über eine schnelle Auffassungsgabe und hohe Flexibilität verfügen.
Auch wenn es darum geht, Ideen oder Anregungen von anderen zu akzeptieren und bei Bedarf zu berücksichtigen.
Das „ewige Lernen“ ist ein sehr wichtiger Faktor. Ich lerne jeden Tag neue Dinge. Und das bereitet mir sehr viel Freude.
Eine gute Schule war für mich die rund 30-jährige Zeit als Selbständiger und Freelancer.
Man lernt zu verstehen, dass alles auch im Kontext des Unternehmens funktionieren muss.
Was habe ich gewonnen, wenn ich vergesse, dass ein Unternehmen in erster Linie profitabel sein muss?
Eine Sicherheitsstrategie sollte im Einklang mit den Unternehmenszielen stehen – die muss man aber auch verstehen können.
Egal ob ein CISO selbständig oder angestellt tätig wird. Das Geld, dass er/sie für seine Leistung bekommt, muss das Unternehmen erst einmal verdienen können.
Ohne die richtige „Kommunikation“ wird es schwer, die „oberste Leitung“ zu motivieren und darüber hinaus müssen auch alle im Unternehmen das Thema „verkauft“ bekommen.
Ein CISO ist so etwas wie ein Verkäufer für Informationssicherheit.
Und er sollte in dieser Rolle durchaus auch in der Lage sein, selbstbewusst vor einem größeren Publikum zu agieren.
Ein letzter Teil ist die „Technologiebalance“.
Es reicht eigentlich schon, dass viele Unternehmen nicht über Informationssicherheit, sondern über IT-Sicherheit sprechen.
Ich empfehle zu diesem Thema einen meiner früheren Beiträge (https://www.crc-pfalz.de/allgemein/informationssicherheit-ist-nicht-it-sicherheit/)
Natürlich gibt es viele technologische Aspekte, die ein CISO betrachten muss.
Nicht umsonst habe ich mich sowohl zum Forensiker als auch zum Sachverständigen qualifizieren lassen und arbeite immer auch direkt an der „Technikfront“.
Es hilft ungemein sich mit SIEM und Pentesting auszukennen.
Aber das ist nicht alles.
Als CISO kümmere ich mich um alle Informationen und alle damit verbundenen Aspekte.
- Ein offenes Fenster zu einem Büro – nicht technisch, aber wichtig.
- Ein herumliegender Ausdruck im Drucker – nicht technisch, aber wichtig.
So gibt es eine Menge an Themen, die ein CISO berücksichtigen muss.
Aktuell lese ich Beiträge, die sagen, dass zukünftig die „Techniker“ für die Aufgaben als CISO herangezogen werden sollen.
Ich sehe das so, dass wir zu wenige, Allrounder haben.
Weil die Kunden und Unternehmen bei Informationssicherheit sofort an „Schwachstellen“ und „Firewalls“ denken, erscheint der Vorschlag logisch.
Aber in meinen Augen ist das nicht der richtige Weg.
Ein guter CISO muss viel Wissen zur IT-Sicherheit haben?
Ja.
Ein IT-Sicherheitsprofi ist automatisch ein guter CISO.
Nein.
Ich habe mich gefragt, welche Eigenschaften einen guten CISO ausmachen.
Meiner Meinung nach sind Erfahrung, Leidenschaft für das Recht, strukturiertes Denken, Führungsqualitäten, Flexibilität, Lernbereitschaft, Verständnis für Unternehmensziele und Kommunikationsfähigkeit wichtig.
Ein CISO sollte in der Lage sein, Risiken abzuwägen und Entscheidungen zu treffen, auch unter Stress und hohem Druck.
Er sollte auch ein guter Coach und Leader sein und in der Lage sein, mit anderen zusammenzuarbeiten.
Ein CISO sollte flexibel sein und in der Lage sein, neue Ideen und Anregungen zu akzeptieren.
Ein CISO sollte auch immer bereit sein zu lernen. Ich lerne jeden Tag neue Dinge und das macht mir viel Spaß.
Als Selbständiger und Freelancer habe ich gelernt, dass alles im Kontext des Unternehmens funktionieren muss. Eine Sicherheitsstrategie sollte im Einklang mit den Unternehmenszielen stehen.
Kommunikation ist auch sehr wichtig. Ein CISO muss in der Lage sein, die oberste Leitung zu motivieren und das Thema Informationssicherheit im Unternehmen zu verkaufen.
Er sollte auch selbstbewusst vor einem größeren Publikum auftreten können.
Ein weiterer wichtiger Aspekt ist die Technologiebalance.
Ein CISO muss sich mit vielen technologischen Aspekten auseinandersetzen, aber das ist nicht alles.
Ein CISO kümmert sich um alle Informationen und alle damit verbundenen Aspekte. Es gibt viele Aspekte, die ein CISO berücksichtigen muss.
Ich habe gelesen, dass in Zukunft Techniker für die Aufgaben als CISO herangezogen werden sollen.
Ich denke jedoch, dass wir zu wenige Allrounder haben.