Dies ist die Fortsetzung des Interviews mit Uwe Kissmann. Letzte Woche ging es um die Situation und die Herausforderungen, im zweiten Teil zeigt der Experte Optionen und Handlungsmöglichkeiten vor.
Auf der einen Seite professionalisieren sich Cyber-Angreifer, auf der anderen Seite knappere Budgets. Wie passt das zusammen?
Uwe Kissmann, Experte für Informationssicherheit
|
Viele Sicherheits-Verantwortliche werden – zum Teil zu Recht – in die IT-Kiste abgeschoben. Doch heute kommt es vielmehr darauf an, auch im Top-Management Bewusstsein für die Business-Bedeutung von IT-Sicherheit zu schaffen.
Es muss sichergestellt werden, dass nicht Geld für unnötige Schutzmaßnahmen ausgegeben wird, sondern dass es dort investiert wird, wo es den größten Nutzen schafft und die Kronjuwelen einer Firma schützt.
Wie kann das gelingen?
Die IT-Sicherheit muss als geschäftlicher Erfolgsfaktor und vor allem Misserfolgsfaktor erkannt werden.
Die immer höhere Dynamik in den Zielmärkten erfordert von den Unternehmen einen signifikanten Wissens- und Informationsvorsprung auf die Mitbewerber, um überhaupt noch Chance auf Erfolg zu haben. Der Verlust von Informationen an die Konkurrenz kann unter Umständen binnen weniger Stunden Geschäftsvorteile zerstören, die über Jahre hinweg aufgebaut wurden.
Dies erfordert eine andere Argumentation der für die Informationssicherheit verantwortlichen Aufgabenträger.
Wenn ich beispielsweise einem Verkaufsvorstand erkläre, dass das neue, hippe B2B-Verkaufsportal einen speziellen Schutz gegenüber DdOS Angriffe, Cross Site Scripting, SQL Injection, unauthorized remote user behaviour analysis und script modification benötigt und dass darüberhinaus möglicherweise noch der Kernel des Web Servers gehärtet werden sollte, ernte ich auf der anderen Seite nur fragende Blicke.
Frage ich ihn aber, was es ihm denn wert sei, dass ausschließlich er und sein Team und nicht etwa die Konkurrenz, Zugriff auf vertauliche Firmenkundendaten haben soll , lautet die Antwort in der Regel : „Sagen Sie mir, wieviel Budget ich anfordern soll ...“.
Sicherheits-Verantwortliche müssen unbedingt lernen, auf Business-Ebene zu argumentieren. Von Bits und Bytes will da niemand mehr was hören. Sie müssen in operativen und finanziellen Aspekten argumentieren, Risiken unter diesen Aspekten bewerten und Mittel gezielt einsetzen.
Haben die Sicherheits-Verantwortlichen diese Kompetenz?
Bestehende CISOs müssen sich unbedingt in Businessthemen weiterentwickeln und bei der Neueinstellung von CISOs muss auf diese Kompetenzen hoher Wert gelegt werden. Es freut mich zu sehen, dass solche CISOs in einzelnen Unternehmen auch schon Einzug gehalten haben und man trifft beispielsweise manchmal auch schon auf Ausbildungskombinationen einer IT-Ausbildung in Kombination mit einer vertieften Securityausbildung und mit einem MBA. Diese Leute sind rar, können aber durch ihre gesamtheitliche Kompetenz sehr schnell hohe Effizienzsteigerungen im Security-Bereich garantieren.
Mich erinnert das sehr an die Entwicklung des Jobprofiles von Informatikverantwortlichen.
Dort waren vor fünfzehn Jahren mehrheitlich ausschließlich technisch orientierte Personen in diesen Rollen zu finden. Heute liegt das klare Schwergewicht auf Profilen, welche die Schnittstelle zwischen Business und IT in einer ökonomisch sinnvollen Art und Weise abdecken und die eine agile und schnelle Umsetzung einer Firmenstrategie fördern und ermöglichen können. Gleiches gilt für moderne CISOs.
Das Einstellen dieser seltenen CISO-Profile wird aber schwierig angesichts der Tatsache, dass der Bedarf an CISOs schon heute kaum mehr gedeckt werden kann. Länder starten extra Initiativen wie die folgenden, um Menschen für eine Beschäftigung mit dem Thema zu gewinnen. Hier seien die Beispiele Österreich, UK, USA und Deutschland genannt.
Wie können Sicherheitsverantwortliche in dieser Situation einen guten Job machen?
Sie sollten risikomanagementbasierte Prioritäten setzen, die reine Technologieecke verlassen, sie aber sehr gut und permanent analysieren, planen und verstehen. Zudem muss ein Businessverständniss entwickeln werden, sowie mit einem ganzheitlichen Konzept aufgetreten werden und diejenigen Partner mit an Bord holen, die auf dieser ganzheitlichen Klaviatur spielen können.
Was können externe Partner leisten?
In erster Linie können sie die Lücke an Ressourcen und Know-how überbrücken - und diese Lücke ist in vielen Firmen heutzutage ein Riesenproblem. Darüber hinaus verschaffen externe Partner durch das Vermitteln einer externen Sicht einen guten Überblick auf das sinnvoll Machbare. Können sie darüberhinaus noch dabei unterstützen, das Thema auch auf Geschäftsleitungsebene nachhaltig und zielgruppengerecht zu verankern, passt dies perfekt.
Und auf was sollte man bei der Auswahl eines externen Sicherheits-Dienstleisters achten?
Ein Unternehmung ist letztendlich einem Organismus nicht unähnlich.
Wenn es darum geht, diesen Organismus umfassend, ökonomisch sinnvoll und vor allem nachhaltig zu schützen, sind ein gesamtheitliches Verständniss, entsprechende Erfahrung, sowie eine nachhaltige Zugriffsmöglichkeit auf genügend Resourcen, eine wichtige Leitschnur, der man bei der Auswahl eines Sicherheitsdienstleisters folgen sollte.
Kostenlos ist das doch sicher nicht.
Die ökonomische Zielsetzung soll eine günstige und nicht etwa eine billige Umsetzung sein.
Wenn man lediglich den verwenden Versprechungen einzelner Hersteller erliegt und ein einzelnes Security-Produkt kauft, mag dies auf den ersten Blick billiger sein, als die Erarbeitung und Umsetzung eines businessorientierten Schutzkonzeptes.
Es ist aber in der totalen Kostenbetrachtung auf keinen Fall die günstigste Lösung, denn der richtige Partner hilft auch dabei, die richtigen Mittel an der richtigen Stelle einzusetzen und schafft integrierte Lösungen.
Vielen Dank für die Einblicke, Herr Kissmann
Der Leitfaden für Informationssicherheit lässt sich hier kostenlos herunterladen.
Dr. Martin Reti
Martin ist als Senior Consultant zuständig für eine breite Palette von divia-Themen, seien es klassische Marketinginstrumenteoder digitale Medien. In seiner Rolle berät er Unternehmen bei der Einführung von Social Media, bereitet im Content MarketingInhalte werthaltig auf und dient als Sparringspartner und Promotor von neuen Marketing-Ideen.
Martin hat langjährige Erfahrung im strategischen Marketing. Einerseits konzipiert er Marketingkampagnen, andererseits fühlt er sich auch als Umsetzer sehr wohl. Neben Auftragsarbeiten hat er auch eine große Zahl von Fachveröffentlichungen über Themen der digitalen Welt publiziert. Er ist ein gewinnender Referent zu Themen wie digitaler Transformation, Social Mediaund Cloud Computing. In seiner Rolle als “Übersetzer” und “Erklärer” vermittelt er komplexe (technische) Inhalte einfach und verständlich. Dabei kommt ihm sein analytischer Blick als Naturwissenschaftler zugute.
Als digitaler Immigrant versöhnt er die Welt des klassischen Marketing und das digitale Universum. Er hat langjährige Erfahrung in der ICT-Branche und kennt die aktuellen Themen, die Unternehmen – heute, häufig aber erst morgen – umtreiben: Big Data,Cloud Computing, Mobile, Collaboration & Co. In der Vergangenheit hat er aber auch Querschnittsthemen wie Prozesse und Personal unterstützt und sogar zwei Jahre als Social Media Manager in der Personalwirtschaft gearbeitet.
Martin ist im Netz bei Facebook,Twitter, Linkedin, Xing, Google+ und vielen weiteren Plattformen und Netzwerken zu finden. Ebenso schreibt er in unserem divia-Blog über seine Schwerpunktthemen. Beim Bitkom engagiert er sich im Arbeitskreis Cloud Computing & Outsourcing.
In der Freizeit engagiert sich Martin als Familienvater dreier Kinder und als Kirchengemeinderat u.a. in der Kinder- und Jugendarbeit der evangelischen Kirche. Martin ist immer bereit für ein gepflegtes Karten-, Würfel- oder Brettspiel. Als weiteres Hobby veröffentlicht er Rätsel auf seinem Blog. Aber auch im Freien ist der passionierte Freizeitläufer anzutreffen.
Kontakt:
E-Mail: martin.reti@divia.de
Tel: 0172 / 8400880