Fehler im Führungskräfte-Lebenslauf
Wie CISOs keine Karriere machen
Foto: fizkes - shutterstock.com
Dan Bowden verfügte über die richtige Mischung aus Erfahrung und Qualifikationen, um seine nächste CISO-Stelle anzutreten, wollte aber sichergehen, dass sein Lebenslauf diese Tatsache widerspiegelt. Deshalb beauftragte er zu Beginn seiner Jobsuche einen professionellen Lebenslauf-Berater. Der riet ihm, sich zu überlegen, was seine Kollegen aus der Führungsebene über seinen Beitrag zum Unternehmen sagen würden und dann mit diesen, statt mit den technischen Fähigkeiten und Details der Sicherheitsarbeit, die den Lebenslauf von CISOs für gewöhnlich dominieren, zu beginnen. "Das hat mir dabei geholfen, ein besseres Gefühl dafür zu bekommen, welche Dinge wirklich wichtig sind und deshalb hervorgehoben werden sollten", sagt Bowden. "Es war nicht so, dass ich am Ende einen völlig neuen Lebenslauf gehabt hätte. Mir fehlte einfach ein Konzept." Inzwischen ist Bowden Vice President und CISO beim US-Gesundheitsdienstleister Sentara - eine Position, die er anstrebte, als er sich in Sachen Lebenslauf beraten ließ.
Seine Geschichte bestätigt, was Personalvermittler und Berater für Führungskräfte empfehlen: CISO-Job-Kandidaten sollten Ihre Lebensläufe so gestalten, dass ihre Führungsqualitäten und nicht ihre technischen Qualifikationen im Fokus stehen. Das haben viele Sicherheitsentscheider noch nicht verinnerlicht und reichen infolgedessen immer noch unzureichende Lebensläufe ein. Wir haben Personalvermittler, CISOs und Berater zu den häufigsten Fehlern in CISO-Lebensläufen befragt.
1. Führungsqualitäten Fehlanzeige
Laut den Analysten von Gartner legen hocheffektive CISOs fünf wichtige Verhaltensweisen an den Tag:
Sie initiieren Diskussionen über sich entwickelnde Sicherheitsnormen,
legen Wert darauf, die Entscheidungsträger über aktuelle und künftige Risiken auf dem Laufenden zu halten,
verfügen über einen formellen und umsetzbaren Nachfolgeplan,
arbeiten mit anderen Führungskräften zusammen, um die Risikobereitschaft des Unternehmens zu definieren, und
engagieren sich proaktiv für die Sicherung neuer Technologien.
Bis auf den fünften Punkt beziehen sich alle Punkte auf Führungsqualitäten und nicht auf spezielle Kenntnisse im Bereich der Cybersicherheit. Das ist allerdings nicht überraschend, schließlich hat sich der CISO inzwischen zu einer "echten" C-Level-Rolle entwickelt. Zu den Erwartungen an Chief Information Security Officers gehört es, IT-Sicherheit und Unternehmensstrategie miteinander zu verweben.
"Dennoch führen viele Kandidaten für CISO-Positionen in ihrem Lebenslauf nicht ihre Referenzen als Führungskraft an", sagt Nick Giannas, Consultant bei der auf Führungskräfte spezialisierten Personalvermittlung WittKieffer. "Sie müssen Ihre Führungsqualitäten demonstrieren. Ein gründliches Verständnis von Technologie und aufkommenden Trends ist wichtig, aber die Fähigkeit, IT-Sicherheitsthemen zu kommunizieren und in Geschäftsrisiken zu übersetzen ist noch viel wichtiger. Das zeigt, dass Sie auf strategischer Ebene arbeiten können, dass Sie Erfahrung auf Führungsebene und im Vorstand haben."
- Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen. - Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren. - Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen. - Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind. - Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat. - Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches. - Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern. - Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.
2. Erfolgslücken
Führungskräfte im Bereich IT-Sicherheit neigen dazu, wichtige Informationen in ihren Lebensläufen zu vernachlässigen - etwa was genau sie in ihrer jetzigen und früheren Tätigkeit erreicht haben. Dabei geben sie oft auch zu wenig Details über ihre früheren Unternehmen, deren Größe, den Umfang ihrer Verantwortlichkeiten oder die Budgets, die sie verwaltet haben.
"Die Bewerber verkaufen sich unter Wert", sagt Brandon Parezo, Principal im Bereich Technologiedienstleistungen beim Personalvermittler LaSalle Network. Wie der Experte verrät, bekomme er regelmäßig Lebensläufe zu sehen, die den Mehrwert, den CISO-Kandidaten in früheren Positionen geliefert haben, unter den Teppich kehrten: "Diese Kandidaten geben eventuell an, dass sie das Security-Programm eines Unternehmens weiterentwickelt haben, lassen dann aber die Details darüber aus, wo und wie sie dies getan haben und welche Auswirkungen es auf das Unternehmen hatte."
"Sie sollten unbedingt sämtliche bedeutenden Errungenschaften in Ihren Lebenslauf integrieren", empfiehlt auch Giannas.
3. Tech-Overkill
Auch wenn CISOs über Führungsqualitäten verfügen und eine Erfolgsbilanz vorweisen sollten, müssen sie auch die Technologieumgebungen verstehen, die sie absichern sollen. Darüber hinaus müssen CISOs auch wissen, wie bestehende und neue Sicherheitstools funktionieren und wie sie am effektivsten eingesetzt werden. Das bedeutet jedoch nicht, technische Fähigkeiten mit Hilfe von überbordendem Fachjargon und jeder Menge Buzzwords zu vermitteln. Sicherheitsexperten können mit SOCs, SIEM und ZTNA sicher etwas anfangen, CEOs und Vorstandmitglieder, die den CISO-Lebenslauf checken eher nicht.
Get es nach Parezo, sollten CISO-Jobkandidaten zwar technische Fähigkeiten und Leistungen erwähnen, sich dabei aber in Business-Sprache ausdrücken: "Unternehmen wollen Lebensläufe, die eher geschäftsorientiert sind. Sie können in ihrem Lebenslauf sehr wohl aufführen, dass Sie ein SIEM Tool implementiert haben. Dabei sollten Sie jedoch den Fokus auf ihre Führungsrolle im Projekt legen und erläutern, welchen Mehrwert das Tool dem Unternehmen gebracht hat."
4. Sicherheitsvorfälle verschweigen
Der Thales "Data Threat Report 2021" kommt zum Ergebnis, dass 56 Prozent aller Unternehmen in der Vergangenheit bereits von einer Sicherheitsverletzung betroffen waren. Angesichts dieser Zahl ist es sehr wahrscheinlich, dass viele CISO-Jobkandidaten bereits einen solchen Sicherheitsvorfall miterlebt haben. Das ist sowohl den Personalverantwortlichen als auch den am Einstellungsprozess beteiligten Führungskräften klar. Es gibt also keinen Grund, diese Erfahrungswerte zu verschweigen - im Gegenteil: Solche Fakten auszulassen, kann sich für Kandidaten nachteilig auswirken - insbesondere, wenn Details zu dem Vorfall öffentlich bekannt geworden sind.
"Dieses Thema wird in meiner Erfahrung oft gemieden", meint Ash Athawale, Senior Managing Director beim Personaldienstleister Robert Half. "Sie sollten sich allerdings darüber bewusst sein, dass es kein gutes Bild zeichnet, wenn herauskommt, dass sie solche Details verschwiegen haben. Wenn Sie also für ein Unternehmen gearbeitet haben, bei dem eine Sicherheitsverletzung aufgetreten ist, sollten Sie das in Ihrem Lebenslauf erwähnen und auch angeben, was Sie getan haben, um die Situation zu bereinigen und Ihr Unternehmen sicherer zu machen."
6. Networking-Missverhältnis
In den Augen der meisten Unternehmen sollten CISOs gut vernetzt und idealerweise in Fachverbänden auf regionaler oder sogar nationaler Ebene aktiv sein. Auf diese Weise stellen sie sicher, dass die Sicherheitschefs mit aufkommenden Trends und neuen Strategien auf Augenhöhe bleiben. Viele CISOs verschweigen ihr Engagement in Berufsverbänden jedoch in ihren Lebensläufen oder spielen ihre Führungsrolle in beruflichen Netzwerken herunter.
Auf der anderen Seite gibt es auch Kandidaten, die es diesbezüglich zu weit treiben, wie Kate Hannon, Co-Leader of the Cyberspace Practice beim Beratungsunternehmen Spencer Stuart, weiß: "Diese Kandidaten betonen ihre Sichtbarkeit oder ihre Auftritte in der Öffentlichkeit zu sehr. Wer sich zu sehr in den Vordergrund drängt, kommt jedoch in den meisten Fällen nicht gut an. Wir hatten solche CISO-Kandidaten, bei denen sich die einstellenden Unternehmen gefragt haben, ob der Bewerber mehr daran interessiert ist, sich einen Namen zu machen, als sich auf seine eigentlichen Aufgaben zu fokussieren."
Um das richtige Gleichgewicht in Sachen Branchenkontakte und Fachverbandsaktivitäten zu finden, empfiehlt Hannon CISO-Jobkandidaten, Details über ihre beruflichen Verbindungen und ihre Arbeit als Fachexperten auf intelligente Weise einzubeziehen: "Wir ermutigen Kandidaten, das als Fußnote oder in Form einer Randnotiz zu erwähnen. Erfahrung, Fähigkeiten und Geleistetes sollte im Vordergrund stehen."
7. Anfängerfehler
Auch im Zeitalter von sozialen Karrierenetzwerken wie Xing und LinkedIn, legen die meisten Unternehmen viel Wert auf den Lebenslauf der Bewerber: "Jeder, der am Einstellungsprozess beteiligt ist, wird einen Blick auf den Lebenslauf werfen", sagt Hannon. Dennoch mangle es in vielen Fällen immer noch an den Grundlagen: Tippfehler, fehlende Kontaktdaten oder schlechte Formatierungen seien immer noch an der Tagesordnung - auch im C-Level-Bereich. Die Beachtung einiger grundlegender Regeln in Bezug auf Länge, Formatierung und Genauigkeit sei daher obligatorisch.
CISO-Lebensläufe sollten mindestens ein paar Seiten umfassen, aber nicht viel länger sein, wie Parezo sagt: "Ich habe schon übermäßig lange Lebensläufe gesehen. Darunter einen, der zehn Seiten lang war, um jede Position, die der Kandidat in den letzten Jahrzehnten innehatte, zu berücksichtigen." Das sei jedoch unnötig: "Was Sie vor 30 Jahren gemacht haben, ist nicht wirklich relevant."
Ein wichtiger Punkt ist dabei auch, dass die Informationen im Lebenslauf mit denen, die beispielsweise auf LinkedIn zu finden, übereinstimmen. "Ich habe schon erlebt, dass sich Bewerber als CISO ausgeben, obwohl sie in Wirklichkeit als Vice President of Information Security oder einer anderen, ähnlichen Position tätig sind. Personalvermittler und Arbeitgeber werden Titel und Daten überprüfen - es ist also wichtig, exakte Angaben zu machen", meint Athawale. Oder wie Hannon es ausdrückt: "Es geht um den ersten Eindruck und der sollte positiv sein."
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.