Jenny Radcliffe von Human Factor Security hat vor Kurzem mit Lucia Milică Stacy, Vice President und Global Resident Chief Information Security Officer (CISO) bei Proofpoint, über den aktuellen Stand in der Cybersicherheit gesprochen. Dabei sprachen sie über verschiedenste Themen von schlagzeilenträchtigen Angriffen und Fachkräftemangel in der Cybersicherheit bis zu veränderten Rollen und Diversität.
Lucia Milică Stacy hat unter anderem Folgendes berichtet:
Die sich ändernde Rolle des CISO
Ich habe das Glück, dass ich in meiner Rolle auch auf der anderen Seite des Tisches sitzen und mit meinen Kollegen über ihre alltäglichen Herausforderungen sprechen kann. Auch wenn jeder Mitarbeiter ganz eigene Probleme bewältigen muss, hat sich beim Zusammenstellen des Voice of the CISO 2022-Berichts wiederholt ein roter Faden gezeigt. Angesichts der COVID-19-Pandemie, schlagzeilenträchtiger Cyberangriffe gegen bekannte Marken und kritische Infrastrukturen sowie der Zunahme hybrider Arbeitsmodelle wird deutlich, dass sich die Rolle des CISO verändert.
Diese und weitere Ereignisse zeigen, wie wichtig unsere Rolle für den Erfolg unserer jeweiligen Unternehmen ist. Während CISOs früher vor allem als „Problem der IT-Abteilung“ galten, werden sie heute als äußerst wichtigste Geschäftsfunktion eingestuft. Der Aha-Moment war gekommen, als die Unternehmensführungen endlich erkannten, dass Cyberrisiken gleich Geschäftsrisiken sind.
CISOs haben eine andere Sicht als der Vorstand
Ein weiteres häufiges Thema unter CISOs sind Meinungsverschiedenheiten mit der übrigen Unternehmensführung. Das führt häufig zu einer unternehmensweiten Diskrepanz zwischen Sicherheitsbewusstsein und Vorbereitung und damit letztendlich zu ständigen Schwierigkeiten bei der angemessenen Kommunikation der Cyberrisiken. Wie immer hat die Medaille jedoch zwei Seiten.
Einerseits wollen die Vorstände durchaus wissen, welche Risiken ihren Unternehmen drohen, andererseits fehlt auf dieser Hierarchieebene wichtiges Wissen über Cybersicherheit und Technik. Daher müssen wir uns bemühen, Cybersicherheit und die entsprechenden Kompetenzen in der Chefetage zum Thema zu machen. Das erleben wir übrigens bereits in Australien, wo Wissen über Cybersicherheit bei Vorstandsmitgliedern inzwischen häufig vorausgesetzt wird. In den USA hat die Börsenaufsichtsbehörde SEC so genannte Cyberregeln vorgeschlagen, die im April 2023 in ihrer endgültigen Form veröffentlicht werden sollen.
Doch auch Cybersicherheitsexperten müssen ihren Teil leisten. Wir müssen in der Lage sein, die Konsequenzen der Risiken überzeugend zu kommunizieren, was auch bedeutet, dass wir die Sprache der Geschäftswelt sprechen und nicht nur technischen Jargon nutzen. Deshalb sollten wir weniger in Kennzahlen und Leistungsindikatoren (KPIs) sprechen und stattdessen kommunizieren, was die Cyberrisiken für die geschäftlichen Abläufe bedeuten.
Schließen der Kompetenzlücke, Widerlegen von Vorurteilen und Fördern von Diversität
In unserer Branche verzeichnen wir immer noch einen erheblichen Fachkräftemangel, der sich mit zunehmendem Ausscheiden älterer Führungskräfte aus der Arbeitswelt weiter verschärfen wird.
Als unsere heute erfahrenen IT-Mitarbeiter in ihren Beruf einstiegen, gab es noch keine dedizierten Verantwortlichen für Cybersicherheit. Stattdessen gehörte diese Aufgabe zum allgemeinen Arbeitsalltag. Als vor einigen Jahren die Rolle des CISO und ähnliche Aufgabenbereiche eingeführt wurden, verfügten wir daher über die richtigen Mitarbeiter, die diese Position problemlos einnehmen konnten. Da Cybersicherheit jetzt stärker gefragt ist, setzen wir talentierte Mitarbeiter direkt als Einsteiger in unteren Cybersicherheitspositionen ein. Im Mittelbau gibt es jedoch noch eine Lücke, wo erfahrene Sicherheitsleiter oder Manager fehlen, die Führungspositionen übernehmen können.
Zudem gibt es auch ein Diversitätsproblem, das sich in der nächsten Generation fortsetzt. Ich bekomme häufig zu hören, dass ich nicht wie jemand aus der Cybersicherheitsabteilung aussehe – wahrscheinlich weil ich kein junger Mann bin und Turnschuhe und Kapuzenpulli trage.
Wir müssen dieses Image-Problem angehen und eine berufliche Perspektive für junge Menschen aller Geschlechter und ethnischen sowie sozialen Hintergründe bieten. Für viele Unternehmen bedeutet das ein vollständiges Umdenken bei ihren Diversitäts- und Inklusionsprogrammen. Doch nur so können wir sicher sein, dass wir die besten Talente anziehen – ganz gleich, woher sie kommen.
Möchten Sie mehr von CISOs hören?
In unserem CISO Voices-Podcast können Sie sich das vollständige Gespräch von Jenny Radcliffe mit Lucia Milică Stacy und weitere Folgen anhören.
Jenny Radcliffes Human Factor Security-Podcasts bietet auch weitere interessante Einblicke von Cybersicherheitsexperten. In unserem nächsten „CISO Voices“-Blog-Beitrag werden die Erkenntnisse von Kate Mullin zum Thema Cybersicherheit vorgestellt.
Proofpoint CISO Hub
In unserem CISO Hub finden Sie regelmäßig aktuelle Informationen zur Cybersicherheitsforschung, Einblicke sowie Ressourcen speziell für CISOs auf der ganzen Welt.