Aus- und Weiterbildung | Karriere | Networking
Die Zukunft gestalten als CISO
Angesichts der weltweit zunehmenden Hacker-Angriffe kommt der IT-Sicherheit eine ebenfalls wachsende Bedeutung zu. Ein Chief Information Security Officer (CISO) ist als verantwortliche Führungskraft für die Informations- und Datensicherheit in einer Unternehmung tätig. Was macht ein CISO, welche Ausbildung ist dafür notwendig? Welche Chancen eröffnen sich für dieses Berufsbild am Arbeitsmarkt?
Wachsame Unternehmen überprüfen regelmässig ihre Cyber-Sicherheitsstrategie sowie ihre Reaktions- und Überwachungsfunktionen. Nicht zuletzt deshalb, weil sich gerade in vergangener Zeit einige hochkarätige Cyber-Angriffe gehäuft haben. Insbesondere in solchen unsicheren Zeiten ist es für Unternehmen angezeigt, einen verantwortlichen Chief Information Security Officer (CISO) zu beschäftigen.
Von CISOs wird grundsätzlich erwartet, dass sie mit der gesamten Organisation kooperieren, um sicherzustellen, dass alle an einem Strang ziehen. Schliesslich ist die Gewährleistung von Sicherheit ein kontinuierlicher Prozess und nicht etwas, das einmal erworben und dann allein gelassen werden kann. IT-Security muss sich mit der Bedrohungslandschaft verändern und weiterentwickeln. Das bedeutet, ein erfolgreich arbeitender CISO muss kontinuierlich darauf achten, dass alle IT-Sicherheitsrichtlinien effektiv implementiert, überarbeitet, aufrechterhalten und überwacht werden.
Abgrenzung zum Chief Information Officer (CIO)
Ein CISO kümmert sich im Wesentlichen um die Sicherheit der Computersysteme und Datenbanken in einem Unternehmen. Der Chief Information Officer (CIO) hingegen befasst sich mit den allgemeinen IT-Themen wie beispielsweise neue Desktop-Computer oder neues Software-Upgrade mit denen das Unternehmen konfrontiert ist. Der CISO kommt jedoch mit einem einzigen Fokus in ein Unternehmen, nämlich dem der Sicherheit.
Das bedeutet, CISOs sind sich nicht nur immer aller Systeme bewusst, die in einem Unternehmen im Einsatz sind, sondern bewerten auch alle Zukäufe und Einführungen im Kontext der Sicherheit. CISOs stellen beispielsweise sicher, dass Netzwerk-Upgrades fortgesetzt werden, ohne die erforderliche Sicherheitssoftware zu deaktivieren. Oder sie wissen, wie sie Datenbanken am besten offline schalten, während die IT-Abteilung neue Serversoftware installiert.
Aufgaben und Verantwortlichkeiten des CISO
Neben der Reaktion auf Datenschutzverletzungen und andere Sicherheitsvorfälle hat der CISO die Aufgabe, neue und aufkommende Bedrohungen zu antizipieren, zu bewerten und aktiv zu bewältigen. Der CISO muss mit anderen Führungskräften aus verschiedenen Abteilungen zusammenarbeiten, um Sicherheitsinitiativen an umfassenderen Geschäftszielen auszurichten und Risiken zu mindern, die verschiedene Sicherheitsbedrohungen für die Mission und die Ziele der Organisation darstellen. Obwohl keine zwei Jobs genau gleich sind, lassen sich die Verantwortlichkeiten eines CISO in folgende Kategorien aufteilen:
– Sicherheitsoperationen
Echtzeitanalyse unmittelbarer Bedrohungen und Sichtung, wenn etwas schief geht.
– Cyberrisiko und Cyberintelligenz
Kontinuierliche Recherche zu allgemein potenziellen Sicherheitsbedrohungen, unter anderem auch hinsichtlich Akquisitionen oder anderen grösseren Geschäftsentwicklungen.
– Datenverlust und Betrugsprävention
Sicherstellen, dass interne Mitarbeiter keine Daten missbrauchen oder stehlen.
– Sicherheitsarchitektur
Planung, Kauf und Einführung von Sicherheitshardware und -software sowie Sicherstellung, dass die IT- und Netzwerkinfrastruktur unter Berücksichtigung der besten Sicherheitspraktiken konzipiert ist.
– Identitäts- und Zugriffsverwaltung
Gewährleisten, dass nur autorisierte Personen Zugriff auf eingeschränkte Daten und Systeme haben.
– Programmmanagement
Den Sicherheitsanforderungen einen Schritt voraus sein, indem Programme oder Projekte implementiert werden, die Risiken mindern – zum Beispiel regelmässige Systempatches.
– Untersuchungen und Forensik
Feststellen, was bei einem Verstoss schief gelaufen ist, Umgang mit den Verantwortlichen, falls es sich um interne handelt, und Planung zur Vermeidung einer Wiederholung derselben Krise.
– Governance
Sicherstellen, dass alle oben genannten Initiativen reibungslos ablaufen und die erforderlichen Finanzmittel erhalten und dass die Unternehmensführung ihre Bedeutung versteht.
Tätigkeiten eines „virtuellen“ CISOs (vCISO)
Eine neuere Entwicklung in diesem Bereich ist das Aufkommen von „virtuellen“ CISOs (vCISO, auch „Fractional CISO“ genannt). Solche CISOs arbeiten in Teilzeit oder auf freiberuflicher Basis für Organisationen, die meist nicht gross genug sind, um einen Vollzeit-Executive-CISO zu beschäftigen, oder die aus verschiedenen Gründen eine spezialisierte externe Führungskraft im Einsatz haben möchten. vCISOs erfüllen in der Regel ähnliche Funktionen wie herkömmliche CISOs.
Kernbereiche der Verantwortlichkeiten eines vCISOs:
– Beratung zu allen Formen von Cyber-Risiken und Plänen zu deren Bewältigung
– Coaching des Vorstands, des Managementteams und des Sicherheitsteams
– Bewertung und Auswahl von Produkten und Dienstleistungen von Anbietern
– Reifegrad-Modellierung von Abläufen und Prozessen, Fähigkeiten und Fertigkeiten des Engineering-Teams
– Briefings und Aktualisierungen des Vorstands und des Managementteams
– Planung und Überprüfung des Betriebs- und Kapitalbudgets
Ausbildung und Voraussetzungen für einen Job als CISO
Ein CISO ist in der Regel eine hochqualifizierte Führungskraft und ein Manager mit einem ausgeprägten Verständnis für Informationstechnologie und Sicherheit. CISOs sind befähigt, komplizierte Sicherheitskonzepte sowohl technischen als auch nichttechnischen Mitarbeitern anschaulich zu vermitteln.
Viele Unternehmen verlangen von CISOs einen Abschluss in den Studiengängen Informatik, Wirtschaftsinformatik bzw. Ingenieurwesen sowie umfangreiche Berufserfahrung im IT-Bereich. CISOs verfügen in der Regel auch über relevante Zertifizierungen wie beispielsweise Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSDIP) und Certified in Risk and Information Systems Control (CRISC).
Wesentliche technische Fähigkeiten:
– Grundlagen der Programmierung und Systemadministration
– Sicherheitsorientierte Technologien wie DNS, Routing, Authentifizierung, VPN, Proxy-Dienste und DDOS-Minderungstechnologien
– Ethisches Hacken und Bedrohungsmodellierung
– Firewall- und Intrusion Detection bzw. Prevention-Protokolle
Weitere Schlüsselqualifikationen:
– Kommunikations- und Präsentationsfähigkeiten
– Kooperationskompetenz
– Finanzielle, planerische und strategische Managementfähigkeiten
– Kenntnisse über relevante Vorschriften und Standards.
Arbeitsmöglichkeiten für CISOs
In der Regel arbeiten CISOs in grösseren mittelständischen Firmen oder Konzernen. Im Hinblick auf präferierte Branchen konzentriert sich die Beschäftigung eines CISOs im Bereich Finanzdienstleistung und Fintechs sowie ITK-Unternehmen.