Der virtuelle CISO oder auch vCISO ist ein Experte für IT-Security, der über ein breites Wissen und viel Branchenerfahrung verfügt. Über die Vorteile eines vCISO spreche ich in einem anderen Video, welches ich hier verlinke: Wie schützt der virtuelle CISO Unternehmen vor Cyberangriffen?
Ein vCISO kann die IT-Security eines Unternehmens stark verbessern, dafür benötigt er aber die passenden Kompetenzen.
Benötigte Kompetenzen eines vCISO (Virtueller CISO)
Management Denken
Wichtig ist, dass der vCISO als Schnittstelle zum Management eingesetzt werden kann. Er muss also in der Lage sein auf Managementebene zu kommunizieren. Dabei ist es wichtig, dass er versteht, welche Anforderungen das Management an die IT-Security hat und diese entsprechend kommunizieren kann. Auf Managementebene ist spielen technische Details keine Rolle. Hier geht es um die großen Zusammenhänge. Der vCISO muss Rede und Antwort stehen können darüber, welchen Risiken das Unternehmen ausgesetzt ist, wie er diese Risiken behandeln will und was für Kosten dafür entstehen. Welche Möglichkeiten gibt es in der IT-Security Kosten zu sparen und dennoch die Sicherheit auf einem hohen Level zu halten. Diese Fragen muss der vCISO dem Management präzise und auf den Punkt gebracht beantworten, um für entsprechende IT-Security Maßnahmen die notwendigen Budgets zu bekommen.
IT-Verstehen
Der vCISO muss ein Verständnis für IT besitzen. Damit er erfolgreich sein kann, reicht es nicht nur aus abstrakte IT-Security Maßnahmen, wie 2-Faktor Authentifizieren oder E-Mail-Verschlüsselung zu kennen. Er muss auch verstehen, was die Einführung bestimmter Maßnahmen für Folgen hat. Viele Maßnahmen haben einen Einfluss auf Andere und natürlich auch auf das Unternehmen. Nur wenn er Konsequenzen seiner Entscheidungen absehen kann, dann weiß er inwieweit die Produktion des Unternehmens dadurch beeinflusst wird. Da der vCISO eng mit der IT zusammenarbeitet, muss er auch die Sprache der IT verstehen und sprechen können. Nur so gelingt es ihm Akzeptanz für seine Vorhaben in der IT zu erreichen. Mitarbeiter der IT merken schnell, wenn jemand sich nur auf Managementebene bewegen kann. Das führt zu erheblichen Schwierigkeiten in der Kommunikation und schafft wenig Akzeptanz bei vorgeschlagenen Änderungen. Der vCISO muss als in der Lage sein mit der IT auf Augenhöhe zu kommunizieren. Es ist nicht notwendig, dass er alle technischen Details kennt, Er sollte allerdings die groben Zusammenhänge kennen und auch die wichtigsten Begriffe verstehen. Je mehr technische Kompetenz der vCISO vorweisen kann, desto einfach wird es ihm fallen neue Dinge umzusetzen.
Schnittstellen zwischen IT und Management
Damit der vCISO als Schnittstelle zwischen IT und Management interagieren kann, darf er keinen zu starken Fokus auf die Technik legen. Wenn sich ein vCISO damit beschäftigt, IT-Produkte wie zum Beispiel IDS oder AniVirus Systeme selbst zu konfigurieren, statt diese Tätigkeiten zu delegieren, dann ist dieser sicher nicht geeignet für die vCISO Position. Ein solcher Kandidat würde dazu neigen, bei Präsentationen vor dem Management eher zu technisch aufzutreten und dadurch das Management nicht an der richtigen Stelle abholen zu können.
Zusammenhänge verstehen
Der vCISO muss die IT-Security über alle Bereiche des Unternehmens im Blick haben. Er muss verstehen, wie die IT-Security wo in welcher Form in die Abläufe des Unternehmens eingreift und vor welchen Risiken das Unternehmen bedroht ist. Damit der Nutzen von IT-Security maximiert wird, ist es wichtig, dass der vCISO einen Blick für das Wesentliche hat. Pragmatische Lösungen, die in Kombination die beste Reduktion der Risiken erreichen, sind hierbei gefragt.
Keine Standardlösung
Jedes Unternehmen ist anders aufgebaut und jedes Unternehmen hat eine andere Struktur seiner IT. Der vCISO kann daher keine Standardlösungen einsetzen, die für alle Unternehmen gleich sind. Was für das eine Unternehmen Risiken reduziert kann in einem anderen Unternehmen keine Relevanz haben oder sogar die Produktion negativ beeinflussen. Daher ist es wichtig, auf die Struktur des jeweiligen Unternehmens zu achten und genau zu schauen, was bei dem Unternehmen Sinn macht und den größten Beitrag dazu leisten kann, die IT-Security zu erhöhen.
Risiko denken
Damit das Unternehmen optimal geschützt werden kann muss der vCISO in Risiken denken können. Er muss verstehen, welchen Risiken das Unternehmen ausgesetzt ist und diese Risiken aufgrund der Ausrichtung des Unternehmens bewerten. Risiken sind nicht isoliert zu betrachten. Sie haben oft einen Einfluss auf andere Risiken. Sie sind nicht starr und verändern sich über die Zeit. Das ist bedingt durch die Entwicklung des Unternehmens und die sich ständig verändernde Bedrohungslage zum Beispiel vor Cyber-Angriffen. Nur wenn ein vCISO die Risiken versteht und korrekt bewerten kann, dann hat er die Möglichkeit mit den passenden Maßnahmen auf die Risiken zu reagieren.
Kanal abonnieren
