CISO Voices: Der CISO als Kommunikationsexperte – Teil 3
Wollten Sie schon immer einmal einem Chief Information Security Officer (CISO) zuhören, der aus dem Nähkästchen plaudert? Dank Jenny Radcliffe und der Podcast-Reihe „CISO Voices“ können Sie das nun. Vor Kurzem hat sie sich mit dem auf Honorarbasis tätigen CISO Todd Wade zusammengesetzt, um mit ihm über die Rolle des CISO und weitere Themen zu sprechen.
Im Folgenden finden Sie eine Zusammenfassung der wichtigsten Punkte, die Todd Wade während des Gesprächs genannt hat.
Die Schwierigkeit von CISOs, ihren Platz im Unternehmen zu finden
Durch die Zusammenarbeit mit vielen Unternehmen sehe ich häufig die gleichen Probleme mit der Rolle des CISO. Für einige ist das ein Manager für Technik-Sicherheit, der die Informationssicherheit unternehmensweit überwacht, wobei in diesem Fall nicht ganz klar ist, was genau das umfasst. Durch die Bank sind viele Unternehmen unsicher, welche Aufgaben CISOs haben und wem sie unterstellt sind.
Diese Diskrepanz kann zu Governance-Problemen führen. Wenn ein CISO keine Berechtigung und Befugnis hat, risikobezogene Entscheidungen treffen, liegen diese im Verantwortungsbereich des Chief Technology Officer (CTO) oder einer ähnlichen Rolle. Natürlich gibt es hervorragende CTOs, aber darum geht es nicht. CISO und CTO sollten als Partner und Kollegen arbeiten, anstatt dem anderen zu unterstehen.
In den USA findet gerade ein Wechsel zu einem Modell statt, bei dem Expertise im Bereich Cybersicherheit von der gesamten Unternehmensführung erwartet wird. Andere Länder sollten diesem Beispiel folgen. Einige Unternehmen sind aus früherem Schaden klug geworden und ihr CISO untersteht nicht mehr dem CTO oder ähnlichen Rollen. Die Unternehmensführung will nun direkt von der für IT-Sicherheit verantwortlichen Person auf dem aktuellen Stand gehalten werden. Das ist meiner Meinung nach eine wichtige Änderung.
Die Bedeutung persönlicher Cybersicherheit
CISOs und Cybersicherheitsteams müssen die richtige Sprache sprechen, wenn sie unsere Botschaft kommunizieren – sei es in Gesprächen mit der Unternehmensführung oder mit Kollegen. Für eine gute Sicherheitslage ist das gesamte Unternehmen gefordert und nicht nur das Sicherheitsteam. Dementsprechend müssen wir Beziehungen aufbauen.
Eine Möglichkeit, dies umzusetzen, ist der persönliche Faktor. Menschen haben eher einen Aha-Moment, wenn sie sehen, wie ein Hack oder eine Kompromittierung sie betrifft. Leider kenne ich mindestens eine leitende Führungskraft, die sich nicht für Unternehmenssicherheit interessierte und ohne zu zögern auf jeden Link klickte. Das ging so lange, bis ein falscher Klick zur Kompromittierung seines privaten Bankkontos führte.
Wir müssen also die Botschaft kombinieren und den Mitarbeitern zeigen, dass sichere Verhaltensweisen sie selbst und ihren Arbeitgeber schützen. Wenn Sie Ihren Anwendern zeigen, wie sie ihre eigene Cybersicherheit und die ihrer Familie verbessern können, erreichen Sie sie persönlich und schaffen es, dass einige dieser Verhaltensweisen auch am Arbeitsplatz befolgt werden.
Der wiederholte Aufstieg von Ransomware
Alle Anwender, ganz gleich, ob sie in der Industrie arbeiten oder Privatanwender sind, kennen das Konzept der Ransomware – denn letztendlich geht es immer um Erpressung.
Das Ziel der Cyberkriminellen besteht darin, die Erpressung so lange wie möglich fortzusetzen. Dazu nutzen sie sämtliche emotionalen Auslöser zu ihren Gunsten, sei es die COVID-19-Pandemie oder der Krieg in der Ukraine. Diese Verbrecher kennen keine Grenzen – und das ist auch der Grund für ihren Erfolg. Gleichzeitig ist die Wahrscheinlichkeit groß, dass sie auch weiterhin Erfolg haben werden.
Es ist sowohl schwierig als auch teuer, diese Bedrohungen auf Abstand zu halten. Deshalb wird das Konzept immer bekannter, zumal zunehmend alle Unternehmen davon ausgehen, dass sie früher oder später von einem erfolgreichen Ransomware-Angriff betroffen sein werden. Daher stellt sich die Frage: Wie steht es mit Ihrer Resilienz – und wie lange dauert die Wiederherstellung?
Möchten Sie mehr von CISOs hören?
In unserem CISO Voices-Podcast können Sie sich das vollständige Interview von Jenny Radcliffe mit Todd Wade sowie weitere Folgen anhören.
Jenny Radcliffes Human Factor Security-Podcasts bietet auch weitere interessante Einblicke von Cybersicherheitsexperten. In unserem nächsten „CISO Voices“-Blog-Beitrag werden die Erkenntnisse von Daniela Almeida, CISO beim niederländischen Fintech-Unternehmen Tinka, zum Thema Cybersicherheit vorgestellt.
Proofpoint CISO Hub
In unserem CISO Hub finden Sie regelmäßig aktuelle Informationen zur Cybersicherheitsforschung, Einblicke sowie Ressourcen speziell für CISOs auf der ganzen Welt.
Proofpoint-Informationsportal: Abwehr von Ransomware
Sehen Sie sich auch das Proofpoint-Informationsportal: Abwehr von Ransomware an, um mehr über diese Bedrohung sowie darüber zu erfahren, wie Proofpoint Unternehmen davor schützen kann.