How to be a CISO
Was muss ein Chief-Information-Security-Officer (CISO) mitbringen? Einfach in die Rolle des CISO zu stolpern ist nicht die beste Option, denn wer eine Karriere im Bereich Cybersicherheit anstrebt, sollte sich gut vorbereiten. Unser Leitfaden liefert Informationen, die dabei helfen, den eigenen Weg zum gefragten CISO klar zu definieren.
Was muss ein Chief-Information-Security-Officer (CISO) mitbringen? Einfach in die Rolle des CISO zu stolpern ist nicht die beste Option, denn wer eine Karriere im Bereich Cybersicherheit anstrebt, sollte sich gut vorbereiten. Unser Leitfaden liefert Informationen, die dabei helfen, den eigenen Weg zum gefragten CISO klar zu definieren.
Der Chief-Information-Security-Officer ist eine hochrangige Führungskraft und häufig Mitglied der Geschäftsleitung. Er ist für die Entwicklung und Umsetzung eines Informationssicherheitsprogramms verantwortlich, das die Mitarbeiter, Prozesse und Technologien eines Unternehmens schützt. Seine Hauptaufgabe besteht darin, die Cybersicherheitsagenda eines Unternehmens voranzutreiben. Im Falle eines Cybersicherheitsvorfalles muss er mit seinem Team zusammenarbeiten, um Risiken zu identifizieren, zu analysieren und zu bewerten.
CISOs müssen eine nachweisbare Erfolgsbilanz vorweisen können. Um sich einen guten Ruf zu erarbeiten und ihre Erfahrung unter Beweis zu stellen, sollten angehende CISOs Folgendes tun:
- Bildung ist alles. Unabhängig davon, ob es sich um eine formelle oder informelle Ausbildung handelt, erwarten die meisten Unternehmen spezifische Qualifikationen, die zeigen, dass eine Person in der Lage ist, die Aufgaben eines CISO zu erfüllen. Einige Unternehmen erwarten, dass die Bewerber neben einem Bachelor-Abschluss auch einen postgradualen Abschluss im Bereich der Cybersicherheit vorweisen können, zum Beispiel einen Master of Science in Cyber Security (MSCS).
- Relevante technische Erfahrung. Bevor man sich für eine CISO-Stelle bewirbt, muss man nachweisen, dass man über die nötige praktische Erfahrung verfügt, um ein Unternehmen im Bereich Cybersicherheit sicher und erfolgreich zu führen. Die technischen Kenntnisse müssen auf dem neuesten Stand sein und sich auf die spezifischen Bedrohungen in einer bestimmten Branche beziehen. Letzteres ist vor allem für neue CISOs wichtig. Die meisten CISO-Positionen erfordern mindestens fünf Jahre Berufserfahrung im Bereich der Cybersicherheit.
- Führungserfahrung sammeln. Wie jede Führungsposition ist auch die des CISO eine Führungsaufgabe. Daher müssen angehende CISOs wissen, wie man ein starkes Cybersicherheitsteam aufbaut und wie man die Teammitglieder effektiv führt, damit sie die notwendigen Fähigkeiten mitbringen, die zu einer Gesamtstrategie beitragen. Für CISO-Positionen ist in der Regel Managementerfahrung erforderlich. Einige verlangen mindestens 7 bis 10 Jahre Managementerfahrung.
- Führungsqualitäten entwickeln. Neben Management-Erfahrung und -Fähigkeiten müssen CISOs auch ein gewisses Maß an Führungspräsenz, gern auch als „Gravitas“ bezeichnet (Persönlichkeit und Selbstvertrauen, das sie durch ihr Auftreten ausstrahlen), mitbringen. Das schließt eine Reihe von Kommunikationsfähigkeiten, ein persönliches Auftreten und die Fähigkeit, in stressigen Situationen ruhig zu bleiben, ein. Es gibt keine genaue Definition von Führungspräsenz, aber sie ist ein Indikator für das eigene Führungspotenzial.
- Qualifikationen erweitern. Angehende CISOs können ihren Horizont und ihre Führungsqualitäten erweitern, indem sie an anerkannten Trainingsprogrammen teilnehmen.
- Eine strategische Vision entwickeln. Unternehmen, die einen CISO einstellen möchten, suchen Kandidaten, die das Unternehmen in die Zukunft führen können. Angehende CISOs müssen Interesse an persönlicher Entwicklung zeigen und beweisen, dass sie das Wachstum und die Entwicklung eines talentierten, wissbegierigen und engagierten Teams unterstützen können.
Viele Wege führen zum CISO
Es gibt keinen eindeutigen Weg, den angehende CISOs einschlagen müssen. Vielmehr können eine Reihe von Cybersicherheitszertifizierungen, ein neugieriger Geist und ein starkes Netzwerk von Kollegen dabei helfen, sich auf die Rolle vorzubereiten. Die folgenden Kompetenzen sind wichtige Meilensteine auf dem Weg zum CISO:
- Technische Fähigkeiten sind ein Muss. Ein CISO muss alles über Netzwerksicherheit, Cloud-Sicherheit, Identitätszugangsmanagement, Infrastrukturübernahme und -anpassung sowie über Tools und Technologien wissen, die den Schutz, die Integrität und die Verfügbarkeit von Daten im Unternehmen gewährleisten.
- Sicherheitsingenieure, die CISOs werden wollen, konzentrieren sich oft auf die Suche nach Problemen. CISOs müssen nicht nur in der Lage sein, Probleme zu finden, sondern auch Probleme und Schwachstellen zu erkennen, die für ihre Umgebung nicht offensichtlich sind. Es braucht Zeit und Übung, um zu lernen, die richtigen Fragen zu stellen und Probleme auf unkonventionelle Weise zu betrachten.
- CISOs müssen ihren Wissensstand ständig aktualisieren, wenn sie über Cybersicherheit nachdenken. Was für die Implementierung von Cybersicherheit vor Ort erforderlich ist, unterscheidet sich von dem, was für die Cloud erforderlich ist. Mit dem Aufkommen von immer mehr Automatisierungs- und KI-basierten Tools muss auch das Wissen stetig neu angepasst werden.
- Viele angehende CISOs verkaufen ihre technischen Fähigkeiten an potenzielle Arbeitgeber. Auch das sind wichtige Eigenschaften für diese Berufsgruppe: eine lösungsorientierte Einstellung, das Erkennen von Gewinnen und Verlusten und die Betonung des Einsatzes von Cybersicherheit als Business Enabler (und nicht als Kostenstelle). Wer Wege findet und aufzeigen kann, wie man den Umsatz des Arbeitgebers oder potenziellen Arbeitgebers steigern kann, wird einen deutlichen Mehrwert bieten, der auch erkannt wird.
Allzu oft bereiten Unternehmensleiter ihre CISOs auf Misserfolge vor, indem sie Cybersicherheit als Nullsummenspiel betrachten. Häufig ist die Mentalität: „Es darf niemals auch nur einen einzigen Cyber-Angriff auf mein Unternehmen geben“. Mit dieser Mentalität wird ein CISO im Fall eines Sicherheitsvorfalls als erfolglos betrachtet. Ihm oder ihr droht dann die Entlassung. Strategisch denkende CISOs wissen, dass sie sich auf den Erfolg vorbereiten können, indem sie mit Stakeholdern auf Führungsebene zusammenarbeiten, um vorgeschlagene Erfolgskriterien (z. B. 98 Prozent der Angriffe verhindern) und realistische KPIs zu entwickeln.
CISO vs. CIO
Lange Zeit sahen Unternehmen keine Notwendigkeit, einen CISO einzustellen, wenn es bereits einen CIO gab. Die Unternehmen fragten sich, warum ein Generalist wie der Chief-Information-Officer (CIO) sich nicht um die Cybersicherheit kümmern könne.
Als jedoch die Cyberbedrohungen zunahmen und Sicherheitsverletzungen aufgedeckt wurden, wurde eine größere Verantwortlichkeit und Sicherheitsaufsicht unumgänglich. Ein CIO kann den übergreifenden IT-Plan für ein Unternehmen erstellen, aber der CISO ist für die Prävention und die Reaktion auf Cyberbedrohungen verantwortlich. Wenn CIOs und CISOs zusammenarbeiten, können Unternehmen mit maximaler Effizienz und digitaler Sicherheit arbeiten.
Fazit
Für IT-Sicherheitsexperten mag die Rolle des CISO wie die ultimative berufliche Rolle erscheinen. Es gibt jedoch ähnliche Rollen, die einen ähnlichen Status, ein ähnliches Gehalt und ein ähnliches Maß an Verantwortung bieten. Zum Beispiel könnte die Rolle des Chief-Data-Officer (CDO) oder die des Business-Information-Security-Officer (BISO) für einige interessant sein.
Wer sich jedoch für die Rolle des CISO entscheidet, stellt die Weichen bestenfalls möglichst früh während des beruflichen Werdegangs. Sicherlich ist eine Rolle, die mit derart viel Verantwortung betraut ist, nicht auf der Überholspur zu erreichen. Wer jedoch die genannten Tipps beherzigt, sich in Sachen Cyberbedrohungen stets auf dem Laufenden hält, Probleme und Schwachstellen erkennen, beheben und IT-Teams anleiten und koordinieren kann, bringt das richtige Rüstzeug mit, um sich für die Position des CISO selbstbewusst empfehlen zu können.