Deutschland
 

Balanceakt

Warum CISOs Business und IT verstehen müssen

Um IT-Teams und Management auf das gleiche Ziel hinzuführen, müssen CISOs sowohl die technische als auch die geschäftliche Seite berücksichtigen und mit ihnen kommunizieren können.
Von 
CSO | 19. Oktober 2022 05:57 Uhr
CISOs müssen technische Hintergründe nicht nur verstehen, sondern auch überzeugend dem Management vermitteln können.
CISOs müssen technische Hintergründe nicht nur verstehen, sondern auch überzeugend dem Management vermitteln können.
Foto: metamorworks - shutterstock.com

"Die Rolle eines CISOs wird noch immer nicht verstanden", erklärt Joe Head, CISO Search Director bei der britischen Personalberatung Intaso, und verweist auf die große Zahl an verrückten Stellenausschreibungen für CISO-Jobs. "Das wahrscheinlich unverschämteste Beispiel dafür war wohl diejenige, in der von einem CISO Programmierkenntnisse in Python verlangt wurden", so Head.

Das ist allerdings schon ein paar Jahre her, und man kann nur vermuten, dass die Rolle von einem ITler geschaffen wurde, der sich nicht um das Business kümmerte oder es nicht verstand - oder umgekehrt von einem Vertreter der Business-Seite, der nicht genug von Technologie verstand.

In beiden Fällen ist die Diskrepanz sehr groß. Head und andere Experten sind jedoch der Meinung, dass vor allem Business-Fähigkeiten ausschlaggebend sind, wenn es darum geht, eine echte Führungsrolle zu übernehmen und an den CEO und den Vorstand zu reporten. Das bedeutet jedoch nicht, dass die meisten CISOs keine Ahnung von Technologie haben, denn die meisten haben immer noch einen technischen Hintergrund.

Wie aus der CISO-Umfrage 2022 des Personalvermittlungsunternehmens Heidrick & Struggles hervorgeht, besitzen die meisten CISOs einen funktionalen IT-Hintergrund, der den Problemen der heutigen Zeit entspricht. So stammen beispielsweise zehn Prozent der CISOs aus dem Bereich Softwareentwicklung, was gut zur Richtlinie des Weißen Hauses zum Schutz der Software-Lieferkette passt. Der Bericht stellt außerdem fest, dass die meisten CISOs Erfahrung in der Finanzdienstleistungsbranche haben, die eine geringe Risikotoleranz aufweist und in der mehr Geld für Sicherheit ausgegeben wird.

Die Umfrage ergab außerdem, dass nur ein kleiner Teil der befragten CISOs (die hauptsächlich für Fortune-500-Unternehmen arbeiten) in die Führungsebene aufsteigt und die mit der Rolle verbundene Kombination aus geschäftlichen und technischen Verantwortlichkeiten übernimmt. Mehr als zwei Drittel der CISOs, die an der Umfrage teilnahmen, arbeiteten für Unternehmen mit einem Börsenwert von über 5 Milliarden Dollar. Anstatt also die mangelnden IT-Kenntnisse der CISOs zu bemängeln, liegt der eigentliche Bedarf darin, den Technologen nach ihrem beruflichen Aufstieg mehr Geschäfts-Knowhow beizubringen.

Lesetipp: Roundtable-Diskussion -Vier CISOs, vier Meinungen

Kein klarer Kompentenzen-Mix

"Es gibt keine einzig richtige Antwort darauf, wie technisch ein CISO sein muss", erklärt Renee Guttmann, Venture-Capital-Beraterin und ehemalige CISO mehrerer Fortune 50-Unternehmen. "Mein Rat ist, dass CISOs über neue Technologien und Strategien von Anbietern auf dem Laufenden bleiben müssen. Sie sollten in der Lage sein, sicherzustellen, dass technische Projekte und deren Implementierung nicht zu einem höheren Risiko für das Unternehmen führen."

Da die überwiegende Mehrheit der CISOs einen technischen Hintergrund hat, besteht die Hauptaufgabe aber eher darin, die erforderlichen Führungsqualitäten und Skills für die Kommunikation mit Entscheidungsträgern und CEOs, VC-Firmen, externen Investoren und Regulierungsbehörden zu erlernen. "Ja, technische Fähigkeiten sind wichtig", erklärt Head. "Aber zu Beginn Ihrer Karriere müssen Sie Ihre Business Skills verbessern, damit Sie mit einer Reihe von Personen kommunizieren können und verstehen, wie das Unternehmen funktioniert."

In Großbritannien, wo die Cybersicherheit weniger ausgereift ist als in den USA, ist es seiner Meinung nach schwieriger, die für einen CISO auf Führungsebene erforderliche Kombination aus technischen und unternehmerischen Fähigkeiten zu finden. Die meisten IT-Security-Manager sind eher "bessere Ingenieure", so der auf CISOs spezialisierte Personalberater. Seine Aufgabe sei es, Kandidaten dabei zu helfen, ihren Geschäftssinn zu verbessern, erklärt Head und fügt hinzu: "Die erfolgreichsten Leute, die ich sehe, sind die IT-Fachleute, die ihre Business-Fähigkeiten ausbauen, indem sie sich in der Hochschule weiterbilden."

Ein solches Beispiel ist Bob West, CSO von Prisma Cloud, einer Abteilung von Palo Alto Networks. In den späten 1980er Jahren arbeitete er als Senior Systems Officer bei Citicorp. Nachdem er von seinen Kollegen gelernt hatte, wie wichtig Business Skills sind, erwarb er in den 1990er Jahren einen Master in IT-Management und begann bei JP Morgan als Sicherheitsarchitekt. Anschließend übernahm er die Rolle des CISO für die Einzelhandelsgruppe von Bank One. Danach war er CISO des Unternehmens bei der Fifth Third Bank.

"Für einen CISO ist es wichtig, technisch versiert zu sein", erklärt West, "aber noch wichtiger ist es, eine solide Führungspersönlichkeit zu sein und als Teil eines Führungsteams zu funktionieren."

Es sei wichtig zu verstehen, wohin sich das Unternehmen entwickelt, damit die Sicherheitsstrategie darauf abgestimmt ist. Man muss Beziehungen zu den übrigen Mitgliedern des Führungsteams aufbauen und pflegen. Und wenn Sie nicht in allen Bereichen technologisch versiert sind, dann wissen Sie zumindest, wen Sie fragen müssen.

Angehende CISOs: Finden Sie einen Champion, um ein Champion zu werden

West empfiehlt, sich Kollegen und Führungskräfte zu suchen, die sowohl mit der Geschäftsseite als auch mit ihren IT-Teams kommunizieren können. Als Beispiel nennt er einen Chef, den er als Mentor betrachtete. Dieser war zwar ein ausgewiesener IT-Profi, aber kein Security-Experte. Dennoch war er in der Lage, eine defekte Security-Anwendung zu reparieren, was niemand sonst konnte.

West führt den Erfolg seines Mentors darauf zurück, dass er der Geschäftsführung und dem Vorstand gute Geschichten erzählte. "Als mein Chef mich einstellte, sagte er: 'Du musst wissen, wie man eine gute Geschichte erzählt, und du musst dein Publikum kennen'." Es sei etwas anderes, mit einem Vorstand zu sprechen als mit einem CIO oder einem internen Prüfer, fügt er hinzu.

"Kommunikation beginnt mit aktivem Zuhören", ergänzt Barbara Filkins, Beraterin bei Syntax2Semantics LLC. Auch Filkins hatte zunächst einen technischen Hintergrund und arbeitete sich dann bis zur C-Level-Beratung für Pharmaunternehmen und -Plattformen hoch, während sie ihren Master in Information Security Management am SANS Technology Institute machte. Zuhören, sagt sie, führt zu einer besseren Kommunikation und, was am wichtigsten ist, zu einem besseren Verständnis dessen, was in dem zu schützenden Bereich, sei es im Gesundheitswesen, in der Luftfahrt oder in der Wasserwirtschaft, zu tun ist. Filkins hat in all diesen Bereichen gearbeitet.

"Als CISO erfolgreich zu sein, ist ein echter Balanceakt, denn der CISO muss die technischen Aspekte verstehen, damit er mit den technischen Mitarbeitern kommunizieren und ihr Vertrauen gewinnen kann", erklärt sie. Er müsse sich aber auch mit den programmatischen und geschäftlichen Aspekten seiner Organisation auseinandersetzen, wie zum Beispiel der Kostenargumentation, dem Risikomanagement und dergleichen. "Nicht jeder, der technisch versiert ist, kann sein Fachwissen vermitteln und erklären, wie es sich in die geschäftlichen Anforderungen einfügt", so die CISO.

Mehrere Wege führen zum CISO-Erfolg

"Erst in den letzten Jahren hat sich die Rolle des CISO von einer Back-Office-Funktion zu einer echten Führungspersönlichkeit auf C-Suite-Ebene entwickelt, die das Geschäft vorantreibt", führt Joyce Brocaglia, Global Cybersecurity Practice Leader beim Personalberatungsunternehmen Alta Associates, aus. Auch wenn die Rolle und die Anforderungen an dieser Stelle letztlich reifen, warnt sie davor zu glauben, dass es eine "Einheitsgröße" für die Rolle des CISO gibt oder geben wird: "Der Titel mag derselbe sein, aber die Rolle, die Verantwortung, die Berichtsstruktur, die Anzahl der Mitarbeiter, der Reifegrad der Abteilung, die Unterstützungskultur und das Gesamtmaß des Erfolgs können variieren", erklärt sie.

"Es kommt selten vor, dass CISO-Kandidaten , was Technik und Management anbelangt, die exakten Fähigkeiten für den Job aufweisen", so Brocaclia. Manchmal bevorzuge der CIO, der einen ausgeprägten technologischen Hintergrund hat, jemanden, der technisch versierter ist, als es für die Stelle notwendig wäre. In anderen Fällen seien sich der einstellende Manager und seine Kollegen oder wichtigen Stakeholder, die in den Bewerbungsprozess involviert sind, nicht einig über die Stellenbeschreibung und darüber, was sie in der Rolle wirklich erreichen wollen.

Dem Fortune-Magazin zufolge sind CISOs mit Sitz im Führungsgremium so selten, dass sie Gehaltspakete von 1 Million Dollar und mehr erhalten. Um voranzukommen, rät Guttmann zukünftigen CISOs, sich weiterzubilden, an Branchenveranstaltungen teilzunehmen und sich in lokalen Netzwerken zu engagieren. "Ein CISO, der sich mit der Unternehmenskultur, den Bedrohungen für sein Unternehmen, der Erstellung geeigneter Kriterien für Produktpiloten, der Implementierungszeit, den Systemabhängigkeiten und den langfristigen Betriebsanforderungen auseinandersetzt, ist Gold wert", so Guttmann weiter. "Kann er diese Daten dann noch für Stakeholder und Führungskräfte so aufbereiten, dass er Unterstützung und Finanzierung erhält, ist er genauso viel wert wei ein Diamanten." (mb)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO.

Deb Radcliff ist Journalistin und Analystin, mit Schwerpunkt auf Computerkriminalität und Cybersicherheit. Sie schreibt unter anderem für unsere US-Schwesterpublikation CSO Online.
Folgen: