So arbeitet die CISO von Johnson & Johnson

Als sie noch Special Agent beim FBI war, schwor Marene Allison 1986, die USA zu schützen. Auch heute noch, als CISO bei einem der größten Pharma- und Konsumgüterhersteller der Welt, fühlt sich Allison, als habe sie einen Schwur abgelegt. "Es ist, als würde ich jeden Morgen meine Hand zum Eid erheben, und die Mission bestünde darin, die Existenz meines Unternehmens in der Cyberwelt zu schützen", sagt Allison, die seit mehr als zwölf Jahren CISO bei Johnson & Johnson ist.

Die Sicherheitsverantwortliche bei Johnson & Johnson

Allison gehörte zur ersten Abschlussklasse der United States Military Academy in West Point, in der auch Frauen ihren Bachelor of Science abschließen konnten. Später wurde sie Mitglied des Board of Directors von West Point Women und Verbindungsoffizier der Militärakademie sowie Kongresskoordinatorin für den Bundesstaat New Jersey. Noch bevor sie in die Unternehmenswelt eintrat, diente sie als Special Agent beim FBI, deckte Drogenoperationen in New Jersey auf und verhinderte terroristische Bombenanschlägen in San Diego. In den vergangenen zwölf Jahren lag Allisons Fokus jedoch auf der Absicherung der weltweiten IT-Systeme und des Geschäfts von Johnson & Johnson - eine große Aufgabe.

Das 136 Jahre alte US-amerikanische Unternehmen produziert und verkauft Produkte wie Tylenol-Schmerzmittel, Pflaster-Klebebandagen, das Mundwasser Listerine, die Aveeno-Körperlotion sowie orthopädische Implantate und medizinische Geräte. Auch bei den Covid-19-Vakzinen mischte Johnson & Johnson mit. Die Tochter Janssen Pharmaceuticals brachte Anfang 2021 einen Vektor-Impfstoff heraus.

Über den Technologie-Tellerrand schauen

Allisons Philosophie ist es, sich nicht zu lange mit den gegenwärtig verfügbaren Technologien aufzuhalten und lieber nach vorne zu schauen. Das gilt nicht nur für die Geräte und die Software, die die Mitarbeiter in Zukunft verwenden sollen, sondern auch für die Herausforderungen, die auf sie zukommen könnten.

"Reife Sicherheitsorganisationen arbeiten mit Roadmaps. Sie sehen sich an, welche Bedrohungen es draußen gibt und welche Technologien sie für deren Bewältigung brauchen werden. Sie entwickeln Pläne, um sich schnell anpassen zu können", erklärt die Sicherheitschefin. "Egal, ob es sich um künstliche Intelligenz oder maschinelles Lernen handelt, CISOs müssen nach vorne schauen. Die Belegschaft muss in die Lage versetzt werden, sich auf neue Technologien einzulassen."

IT-Sicherheit während und nach der Pandemie

Diese Zukunftsorientierung half Allison, als die Arbeiter von Johnson & Johnson mit Beginn der Pandemie ihre Büros in Scharen verließen, um vom Home-Office aus zu arbeiten. Die Beschäftigten mussten via Zoom von ihren Wohnzimmern und Küchen aus miteinander kommunizieren, da stellte sich die Frage, ob die Verbindungen sicher waren. Allison hatte diese Frage bereits gestellt und beantwortet, bevor Covid zuschlug. Sie hatte Zoom evaluieren lassen, bevor die Software für die Remote-Arbeitsanforderungen des Unternehmens wichtig wurde. "Wir waren digital bereit", blickt die CISO zurück. "Wir schauen uns unsere Technologieplattformen genau an und bewerten sie, bevor wir sie in den Alltagsbetrieb einführen."

Ein weiterer Aspekt der Informationssicherheit war für Allison der Schutz der Mitarbeitenden im Internet. "Wir haben uns das Nutzungsverhalten von Social Media angesehen: wie wir kommuniziert haben, welche Plattformen genutzt und wie viele Informationen geteilt wurden", sagt Allison. "Alle Beschäftigten mussten lernen, wie sie mit sozialen Medien sicher umgehen können. Es ging uns darum sicherzustellen, dass unsere Leute nicht zur Zielscheibe von Phishing- oder Social -Engineering-Angriffen werden konnten."

Security-Talente finden

Den Angreifern technisch einen Schritt voraus zu sein, die Mitarbeiter sicher von zu Hause aus arbeiten zu lassen und die Computersysteme und -daten von Johnson & Johnson abzusichern, das sind gleich eine Reihe von herausfordernden Aufgaben. Allison betont, wie stolz sie auf das Team ist, das sie um sich herum aufgebaut hat. "Für mich war es wichtig, ein Team zu schaffen, das unterschiedliche Blickwinkel und Ideen einbringt. Wir müssen die Technologien, unser Geschäft und auch die Bedrohungen verstehen", erklärt die CISO.

Um sich in Zeiten des Fachkräftemangels ein erstklassiges Cybersicherheitsteam aufzubauen, hat Allison genau darüber nachgedacht, auf welche Anforderungen es am meisten ankommt. Die Ex-FBI-Agentin sagt, sie habe ihren Fokus stärker auf die Talente und Softskills der Menschen gelegt, weniger auf Universitätsabschluss und Noten. "Es gibt bei uns einige Leute, die keinenTech-Abschluss vorweisen können. Das heißt aber nicht, dass sie kein wertvoller Teil des Teams sein können."

So hat Allison Ex-Polizisten eingestellt, die sich zu forensischen Experten weitergebildet und zu Verantwortlichen für Sicherheitsoperationen hochgearbeitet haben. "Ich habe immer daran geglaubt, dass Menschen wachsen, wenn man in sie investiert. Ein Mainframe-Spezialist kann natürlich auch zum Cloud-Experten werden. Das ist es, was die Security-Experten so besonders macht: Sie sind immer auf der Suche nach Herausforderungen. Wenn man so jemanden für sein Team findet, sollte man ihn festhalten." (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.