6 Attribute
Was Arbeitgeber von neuen CISOs erwarten
Foto: Gorodenkoff - shutterstock.com
Sie sind auf der Suche nach Ihrer nächsten Stelle als Chief Information Security Officer - vorzugsweise mit mehr Gehalt, besseren Sozialleistungen und mehr Verantwortung und Respekt am Arbeitsplatz? Dann sollten Sie wissen, welche Fähigkeiten und Qualitäten potenzielle Arbeitgeber von ihren CISOs erwarten. Mit den folgenden sechs Attributen können Sie Ihre Chancen auf einen Traumjob maximieren.
1. CISO-Erfahrung
Arbeitgeber von heute erwarten von neuen CISOs, eine Fülle von Fähigkeiten. Wie Burke Autrey, CEO beim IT-Personalvermittler Fortium Partners weiß, suchten Unternehmen nach erfahrenen Kandidaten, die zuvor bereits in verschiedenen Unternehmen als CISO tätig waren. "Das gewährleistet Expertise in Sachen Governance, Compliance und Threat Detection ebenso, wie Erfahrung in Sachen Budget- und Personalmanagement, der Interaktion mit Führungskollegen und Vorstand sowie dem Umgang mit Strafverfolgungsbehörden und Versicherungsunternehmen."
"Unsere Kunden interessiert, wie die Kandidaten in ihren vorherigen Jobs mit Sicherheitsvorfällen umgegangen sind, wo sie vielleicht etwas übersehen haben, wie sie darauf reagiert haben und wie sie die Cyberresilienz ihres Unternehmens gestärkt haben", stimmt Michael Piacente, geschäftsführender Gesellschafter bei der Personalberatung Hitch Partners, zu. Gleichzeitig seien viele kleinere Unternehmen bereit, Sicherheitsexperten ihren ersten CISO-Job zu geben, sofern sie über die erforderlichen Fähigkeiten verfügten.
2. Produktexpertise
"Die wichtigste Fähigkeit ist zweifelsohne, sich in der Anwendungs- und Produktsicherheitslandschaft gut auszukennen", meint Piacente. "Das schafft die Grundlage, um auf einer sehr tiefen technischen Ebene mit Produktentwicklungs- und Ingenieurteams zusammenzuarbeiten."
Das gelte insbesondere für Technologieunternehmen, so der Experte: "Die meisten unserer Kunden sind Softwareunternehmen, für die Compliance bei der Produkt- und Anwendungssicherheit, die Befähigung der Kunden und Hiring-Prozesse der Schlüssel zum Erfolg ihrer Plattformen sind. In dieser Welt ist Sicherheit nicht bloß ein notwendiges Übel oder ein Kästchen zum Abhaken, sondern eine essenzielle Funktion", so der Personalexperte.
3. Risiko- und Bedrohungsweitsicht
Eine weitere unabdingbare Fähigkeit seien Kenntnisse in Governance, Risk & Compliance (GRC), so Piacente weiter: "Unternehmen wünschen sich einen CISO, der die Feinheiten auf dem Weg zu Zertifizierungen wie ISO oder SOC2 versteht. Ein angehender CISO muss diese Zyklen vollständig durchlaufen haben, um verstehen zu können, was sein Arbeitgeber braucht und was nicht."
Ganz allgemein wünschten sich Unternehmen CISOs, die auf der Grundlage einer Philosophie der vorausschauenden Risikominimierung arbeiten können: "Solche CISOs wissen, welche Probleme sich in Bezug auf die Produktsicherheit, Compliance und mögliche Bedrohungen am Horizont abzeichnen."
4. Vertrauen schaffen
Angehende CISOs müssen auch zeigen können, dass sie die Vertriebs- und Marketingteams des Unternehmens dabei unterstützen können, Vertrauen in die Sicherheit ihrer Produkte und Dienstleistungen zu schaffen.
CISOs könnten zum Beispiel gebeten werden, Fragebögen auszufüllen, die Kunden oder Partner schicken, um die Sicherheitspraktiken des Unternehmens zu überprüfen. "Viele unserer Kunden suchen CISOs, die in der Lage sind, den IT-Betrieb eines Unternehmens zu managen - inklusive Anwendungen, Business-Technologien und Infrastruktur", erzählt Piacente.
"CISOs wird traditionell bereits ein gewisses Maß an Kunden- und Partner-Support zugeschrieben. In den letzten drei Jahren hat dieser Teil des Aufgabenbereichs rapide an Bedeutung gewonnen. Ungefähr 80 Prozent unserer Suchanfragen beinhalten irgendeine Form von Kunden- und Partnerbetreuung. Wir gehen davon aus, dass sich dieser Trend fortsetzt, da der CISO zu einem wichtigen Influencer und Collaboration-Akteur im gesamten Unternehmen wird", prophezeit der HR-Spezialist.
5. Zertifizierungen und Informatik-Hintergrund
Nicht wenige Arbeitgeber berücksichtigen zwar Zertifizierungen, wenn sie CISOs einstellen. Wie CEO Autrey weiß, haben traditionelle CISOs mit technischem/ingenieurwissenschaftlichem Hintergrund oft sicherheitsspezifische Zertifizierungen wie CISSP, CISA oder CISM vorzuweisen. "Da sich die Rolle des CISO jedoch weiterentwickelt, werden Sicherheitsentscheider inzwischen mehr nach ihrer Erfahrung, ihrem Auftreten als Führungskraft und ihren Fähigkeiten in der Vorstandsetage beurteilt als nach technischem Wissen und Zertifizierungen."
Wenn es um allgemeine Abschlüsse und Zertifikate gehe, sei Informatik zweifelsohne immer noch das wichtigste Element, nach dem Arbeitgeber bei potenziellen CISOs suchen, weiß Piacente. "Nach unserer Erfahrung haben viele CISOs, die bei unseren Kunden eingestellt wurden, als Softwareentwickler oder Ingenieur angefangen - besitzen also einen Hintergrund in Informatik."
Viele Arbeitgeber erwarten auch, dass ihr CISO einen Master in Business Administration (MBA) vorweisen kann, berichtet Piacente: "Dass Arbeitgeber von ihren CISOs einen MBA verlangen, ist der Aufwertung der CISO-Rolle in den letzten drei bis fünf Jahren geschuldet. Sicherheitsentscheider nehmen eine höhere Rolle im Unternehmen ein und berichten an den Vorstand. Ein MBA ist zwar nicht entscheidend dafür, ob man den Job als CISO bekommt, aber sicherlich hilfreich."
6. Soziale Skills
Da CISOs konstruktiv mit anderen Führungskräften und Fachbereichen im Unternehmen zusammenarbeiten müssen, suchen Arbeitgeber nach Kandidaten mit soliden zwischenmenschlichen und sozialen Fähigkeiten. "Es gilt, auch unter Druck ruhig zu bleiben, Autoritäten nicht in Frage zu stellen und in der Lage zu sein, Bedrohungen und Auswirkungen in Business-Sprache zu übersetzen", weiß Autrey.
CISOs von heute brauchen nach Einschätzung von Piacente unbedingt auch Einfühlungsvermögen: "Sie brauchen Emphatie für Ihre interne Organisation, Ihre externen Partner und potenzielle Kunden. Dabei müssen sie auch einsehen, dass nicht jeder Security so versteht wie sie selbst und sollten in der Lage sein, das Wesentliche allgemeinverständlich auszudrücken."
Außerdem wollen die Arbeitgeber CISOs, die in der Lage sind, realistische Pläne, Ziele und Fristen für ihre Abteilungen festzulegen und diese klar zu kommunizieren: "Das Publikum eines CISO ist äußerst vielfältig und reicht vom Vertrieb über Marketing und Rechtsabteilung bis hin zu den Finanzen", sagt Piacente. "Wenn Sie versuchen, eine Mauer um das Unternehmen zu bauen, ohne auf die Bedürfnisse anderer Rücksicht zu nehmen, werden ihre Kollegen das nicht goutieren. Vielmehr werden sie versuchen, diese Mauern zu umgehen. Wenn Sie jedoch kollaborieren, um Lösungen für die Cybersicherheit zu entwickeln, die die Arbeit erleichtern und gleichzeitig Risiken minimieren, wird sich Erfolg einstellen." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.