2023 Autor: Susan Creighton | [email protected]. Zuletzt bearbeitet: 2023-05-24 11:14
Die Zahl und Art der "C-Level-Führungskräfte", wie sie dem Chief Executive Officer (CEO) in großen Unternehmen als Gruppe unterstellt sind, scheint in letzter Zeit zuzunehmen. Ein Chief Information Security Officer (CISO) ist eine Führungskraft auf C-Ebene, die für die Informationssicherheit eines gesamten Unternehmens oder einer gesamten Organisation verantwortlich ist.
Verständnis der CISO-Rolle
Es gehört mehr dazu, die Schuhe eines CISO zu füllen, als nur ein tiefes Verständnis der Informationssicherheit zu besitzen. In der Executive Suite bedeutet das Ausführen dieser C-Level-Jobs, dass bestimmte Aspekte des Geschäfts oder der Technologie mit der Gesamtvision in Verbindung gebracht werden, die ein gut geführtes Unternehmen leitet und vorantreibt. Dies bedeutet, dass ein CISO auch die übergreifende Unternehmensvision und -strategie für das Unternehmen verstehen und dann alle erforderlichen Schritte unternehmen muss, um sicherzustellen, dass seine Informationsressourcen und -technologien ordnungsgemäß geschützt sind.
Die Aufgabe des CISO umfasst somit zahlreiche wichtige Wissensbereiche, die er oder sie in einem Unternehmen umsetzen muss. Dazu gehören die folgenden Elemente:
- Risikobewertung, -minderung und -vermeidung - Dies bedeutet eine gründliche Untersuchung und Bestandsaufnahme von Informationsressourcen, geistigem Eigentum und anderen digitalen Wertbeständen, das Verständnis der Bedrohungen und die Entscheidung, welche Schritte zum Schutz dieser Ressourcen vor Beschädigung, Verlust oder Beschädigung zu unternehmen sind. Letztendlich fließt dies auch in die Unternehmenssicherheitsrichtlinie ein, die definiert, welche Schutz- und Reaktionsstufen mit Informationsressourcen und digitalen Beständen verknüpft werden sollen.
- Einhaltung gesetzlicher und behördlicher Vorschriften - Dies setzt voraus, dass Sie verstehen, wie die Informationsressourcen und digitalen Bestände eines Unternehmens in den Geltungsbereich der geltenden Gesetze und Vorschriften fallen und die entsprechenden Anforderungen erfüllen, z. B. Bewertungen, Prüfungen, Berichterstattung, Datenschutz, Vertraulichkeit und mehr. Es bedeutet auch, bereit und in der Lage zu sein, die Last der Behandlung einer Sicherheitsverletzung zu tragen und mögliche rechtliche, geschäftliche und finanzielle Folgen dieser Verletzung zu bewerten und zu behandeln.
- Unternehmens- und Sicherheitsarchitektur - Als formale Disziplin innerhalb der IT möchte die Architektur sicherstellen, dass der Erwerb und die Nutzung von Technologie die Fähigkeit eines Unternehmens ermöglicht und stärkt, Geschäftsziele zu erreichen, Leistungs- und Wachstumsziele zu erreichen und auf den ausgewählten Märkten wettbewerbsfähig zu bleiben. Die Unternehmensarchitektur betrachtet diese Sichtweise vom Standpunkt der gesamten Infrastruktur aus, wohingegen die Sicherheitsarchitektur sich stärker auf die Tools und Technologien konzentriert, die erforderlich sind, um die Arten und Ebenen des Schutzes zu gewährleisten, die von Risikobewertungen und Compliance-Anforderungen vorgegeben werden.
Der einfachste Weg, all dies zu verstehen, besteht darin, zu erkennen, dass es die Aufgabe des CISO ist, sicherzustellen, dass die Sicherheitsposition und -richtlinie des Unternehmens mit der Geschäftsvision übereinstimmt. den Schutz und die Unterstützung bieten, die für die erfolgreiche Umsetzung erforderlich sind; und Vorreiterrolle bei Bemühungen, Sicherheitsverletzungen, Datenschutzverletzungen, Regelungslücken oder Sicherheitsrichtlinienfehlern, die manchmal auftreten, entgegenzuwirken und diese zu beheben.
CISO Bildungshintergrund
Wer einen C-Level-Job anstrebt, muss mindestens einen Bachelor-Abschluss erwerben und wird wahrscheinlich auch einen oder mehrere Master-Abschlüsse erwerben. Die meisten C-Level-Manager kombinieren ein tiefes Verständnis der allgemeinen Geschäftsprinzipien und -praktiken mit dem jeweiligen Fachgebiet. Daher hat ein CISO mit ziemlicher Wahrscheinlichkeit einen MBA (Master of Business Administration) sowie einen spezielleren sicherheitsorientierten Master in Informatik oder einer verwandten Disziplin erworben.
Die unter der Schirmherrschaft der National Centres of Academic Excellence zusammengefassten Master-Abschlüsse, eine Zusammenarbeit zwischen dem Department of Homeland Security (DHS) und der National Security Agency (NSA), die die Entwicklung qualifizierter Cybersecurity-Experten fördern soll, bieten ein gutes Potenzial Beispiele für solche Programme.
IT-Zertifizierungen
Es gibt viele Zertifizierungen für Informationssicherheit, die für angehende CISOs sowohl von Nutzen als auch von Nutzen sein können. Suchen Sie nach Informationen zur höheren Informationssicherheit (Infosec), z. B.:
- Zertifizierter Informationssicherheitsmanager (CISM)
- Offensive Security Certified Professional (OSCP)
- Zertifizierter Sicherheitsexperte für Informationssysteme (CISSP)
Darüber hinaus empfehlen wir nachdrücklich, dass angehende CISOs die ISACA-Zertifizierung für die Governance von Unternehmens-IT (CGEIT) erhalten. Dies liegt daran, dass sich diese Berechtigung auf das Verständnis und die Anwendung der IT-Governance-Grundsätze und -Praktiken für Unternehmen konzentriert. Diese Fokussierung ist ein wesentlicher Bestandteil der Sicherstellung, dass das Unternehmen alle geltenden Gesetze und Vorschriften kennt und einhält, insbesondere in Bezug auf die Informationssicherheit.
Berufserfahrung
Die C-Level-Executive-Welt konzentriert sich auf das Geschäft und einige andere technische Bereiche. Für einen CISO ist das Informationssicherheit. Die meisten aufstrebenden CISOs kommen aus einer Unternehmensrolle im Bereich Informationssicherheit, in der Regel eine, die sowohl Stationen als technischer Experte oder als einzelner Mitarbeiter als auch verschiedene progressiv verantwortliche Managementpositionen (Manager, Direktor, Vizepräsident usw.) umfasst. Das Wichtige an dieser Berufserfahrung ist, dass sie ein tiefes und beständiges Interesse und Fachwissen in Bezug auf das Thema Informationssicherheit in Kombination mit einem wirklichen Verständnis für das Entwerfen, Implementieren, Verwalten und Durchsetzen von Sicherheitsrichtlinien in einem Geschäftskontext aufweist.
Das Wichtigste an früheren Erfahrungen mit dem Greifen nach den Stars (oder zumindest einem C-Level-Job) ist, dass es relevant und praktisch ist. Das bedeutet, dass Sie einige Zeit in eine oder mehrere Positionen investieren möchten, in denen Sie Sicherheitsrichtlinien festlegen oder implementieren müssen.
Ebenso ist es wichtig, Erfahrung mit Vorfallsreaktionsstrategien und Sicherheitsmaßnahmen nach einer Sicherheitsverletzung, einem Einbruch oder einer anderen Art von "Hack-Angriff" zu haben. Durch das Durcharbeiten mehrerer aufsichtsrechtlicher und / oder rechtlicher Konformitätsübungen, einschließlich Sicherheitsprüfungen, Untersuchungen und sogar rechtlicher Schritte, können Sie auch die Details dieses Teils des Auftrags besser verstehen.
Angesichts der zunehmenden Anzahl von Bedrohungen und Exploits in der heutigen Sicherheitslandschaft ist es wichtig, künftigen Sicherheitsvorfällen mit einem "nicht wenn, sondern wenn" zu begegnen. Wenn Sie bereit sind, sich solchen Herausforderungen zu stellen, werden Sie dem oberen Management mit größerer Wahrscheinlichkeit beweisen, dass Sie die CISO-Aufgabe mit Geschick, Elan und Einsatz erfüllen können.
Für jeden C-Level-Manager sind ausgeprägte mündliche und schriftliche Kommunikationsfähigkeiten ein Muss. Solche Führungskräfte müssen es verstehen, ihre Kollegen anzusprechen, aber auch mit einer großen Anzahl von Mitarbeitern, Aktionären oder Anlegern oder Sicherheitsfachleuten zu sprechen (möglicherweise im Rahmen einer Firmenausstellung oder einer Branchenveranstaltung).
Als Führungskräfte auf Führungsebene müssen Führungskräfte auf C-Ebene das Auf und Ab von Menschen und Ideen in einer politischen Dimension verstehen und wissen, wie sie Stakeholder und andere Führungskräfte davon überzeugen können, bestimmte Standpunkte oder bestimmte Implementierungstechniken zu übernehmen oder zu verstehen, die zur Umsetzung erforderlich sind Unternehmens- oder Sicherheitsarchitekturziele.
Schulung erforderlich
Die Ausbildung zum Chief Information Security Officer umfasst die Vorbereitung auf zahlreiche Zertifizierungen und das Sammeln jahrelanger einschlägiger Erfahrung sowie den richtigen Bildungshintergrund. Zu den besten Orten, an denen Sie Informationen zum Thema Informationssicherheit erhalten, gehören das SANS-Institut, ISACA (ISC) 2, das Infosec-Institut und der EG-Rat.
Unter diesen infosec-fokussierten Sites finden Sie zahlreiche Schulungsmöglichkeiten für diejenigen, die danach suchen, einschließlich von Lehrern geführter Schulungen, computergestützter Videos, Bücher, Labors und anderer Materialien sowie persönlicher Vor-Ort-Schulungen.
So wie andere IT-Fachleute sich weiterbilden müssen, um auf dem neuesten Stand der Ideen und Strategien zu sein, muss der CISO mit den Technologietrends Schritt halten und ständig lernen, die technologische Entwicklung voranzutreiben.
Ein CISO muss seine Aufmerksamkeit kontinuierlich auf den aktuellen Stand der Infosec-Technologie in seinem Unternehmen und auf neu aufkommende oder führende Entwicklungen im Bereich Infosec lenken. Dies ist ein heikler Balanceakt, da die Aufrechterhaltung einer angemessenen Sicherheitslage zunehmend eine Notwendigkeit für den Geschäftserfolg darstellt. Die Einführung neuer Plattformen und Technologien bleibt jedoch auch eine praktikable Methode zur Aufrechterhaltung oder Steigerung des Wettbewerbsvorteils eines Unternehmens. Diese Zweiteilung wirft unvermeidlich Sicherheitsbedenken in Bezug auf neue oder noch nicht erprobte Tools oder Technologien gegenüber dem Wettbewerbsvorteil auf, den sie vermitteln könnten. Der CISO ist die Person, die letztendlich entscheiden muss, ob die Risiken die potenziellen Vorteile überwiegen oder umgekehrt.
