Einen guten vCISO (Virtueller CISO) erkennen

Inhaltsverzeichnis

Ein virtueller CISO hilft dabei ein Unternehmen vor Cyber-Angriffen zu schützen. Damit er das kann, muss er die richtigen Kompetenzen haben. Welche das sind, darüber spreche ich in diesem Video.
vCISO finden

Der virtuelle CISO oder auch vCISO ist ein Experte für IT-Security, der über ein breites Wissen und viel Branchenerfahrung verfügt. Über die Vorteile eines vCISO spreche ich in einem anderen Video, welches ich hier verlinke: Wie schützt der virtuelle CISO Unternehmen vor Cyberangriffen?

YouTube player

Ein vCISO kann die IT-Security eines Unternehmens stark verbessern, dafür benötigt er aber die passenden Kompetenzen.

Benötigte Kompetenzen eines vCISO (Virtueller CISO)

Management Denken

Wichtig ist, dass der vCISO als Schnittstelle zum Management eingesetzt werden kann. Er muss also in der Lage sein auf Managementebene zu kommunizieren. Dabei ist es wichtig, dass er versteht, welche Anforderungen das Management an die IT-Security hat und diese entsprechend kommunizieren kann. Auf Managementebene ist spielen technische Details keine Rolle. Hier geht es um die großen Zusammenhänge. Der vCISO muss Rede und Antwort stehen können darüber, welchen Risiken das Unternehmen ausgesetzt ist, wie er diese Risiken behandeln will und was für Kosten dafür entstehen. Welche Möglichkeiten gibt es in der IT-Security Kosten zu sparen und dennoch die Sicherheit auf einem hohen Level zu halten. Diese Fragen muss der vCISO dem Management präzise und auf den Punkt gebracht beantworten, um für entsprechende IT-Security Maßnahmen die notwendigen Budgets zu bekommen.

IT-Verstehen

Der vCISO muss ein Verständnis für IT besitzen. Damit er erfolgreich sein kann, reicht es nicht nur aus abstrakte IT-Security Maßnahmen, wie 2-Faktor Authentifizieren oder E-Mail-Verschlüsselung zu kennen. Er muss auch verstehen, was die Einführung bestimmter Maßnahmen für Folgen hat. Viele Maßnahmen haben einen Einfluss auf Andere und natürlich auch auf das Unternehmen. Nur wenn er Konsequenzen seiner Entscheidungen absehen kann, dann weiß er inwieweit die Produktion des Unternehmens dadurch beeinflusst wird. Da der vCISO eng mit der IT zusammenarbeitet, muss er auch die Sprache der IT verstehen und sprechen können. Nur so gelingt es ihm Akzeptanz für seine Vorhaben in der IT zu erreichen. Mitarbeiter der IT merken schnell, wenn jemand sich nur auf Managementebene bewegen kann. Das führt zu erheblichen Schwierigkeiten in der Kommunikation und schafft wenig Akzeptanz bei vorgeschlagenen Änderungen. Der vCISO muss als in der Lage sein mit der IT auf Augenhöhe zu kommunizieren. Es ist nicht notwendig, dass er alle technischen Details kennt, Er sollte allerdings die groben Zusammenhänge kennen und auch die wichtigsten Begriffe verstehen. Je mehr technische Kompetenz der vCISO vorweisen kann, desto einfach wird es ihm fallen neue Dinge umzusetzen.

Schnittstellen zwischen IT und Management

Damit der vCISO als Schnittstelle zwischen IT und Management interagieren kann, darf er keinen zu starken Fokus auf die Technik legen. Wenn sich ein vCISO damit beschäftigt, IT-Produkte wie zum Beispiel IDS oder AniVirus Systeme selbst zu konfigurieren, statt diese Tätigkeiten zu delegieren, dann ist dieser sicher nicht geeignet für die vCISO Position. Ein solcher Kandidat würde dazu neigen, bei Präsentationen vor dem Management eher zu technisch aufzutreten und dadurch das Management nicht an der richtigen Stelle abholen zu können.

Zusammenhänge verstehen

Der vCISO muss die IT-Security über alle Bereiche des Unternehmens im Blick haben. Er muss verstehen, wie die IT-Security wo in welcher Form in die Abläufe des Unternehmens eingreift und vor welchen Risiken das Unternehmen bedroht ist. Damit der Nutzen von IT-Security maximiert wird, ist es wichtig, dass der vCISO einen Blick für das Wesentliche hat. Pragmatische Lösungen, die in Kombination die beste Reduktion der Risiken erreichen, sind hierbei gefragt.

Keine Standardlösung

Jedes Unternehmen ist anders aufgebaut und jedes Unternehmen hat eine andere Struktur seiner IT. Der vCISO kann daher keine Standardlösungen einsetzen, die für alle Unternehmen gleich sind. Was für das eine Unternehmen Risiken reduziert kann in einem anderen Unternehmen keine Relevanz haben oder sogar die Produktion negativ beeinflussen. Daher ist es wichtig, auf die Struktur des jeweiligen Unternehmens zu achten und genau zu schauen, was bei dem Unternehmen Sinn macht und den größten Beitrag dazu leisten kann, die IT-Security zu erhöhen.

Risiko denken

Damit das Unternehmen optimal geschützt werden kann muss der vCISO in Risiken denken können. Er muss verstehen, welchen Risiken das Unternehmen ausgesetzt ist und diese Risiken aufgrund der Ausrichtung des Unternehmens bewerten. Risiken sind nicht isoliert zu betrachten. Sie haben oft einen Einfluss auf andere Risiken. Sie sind nicht starr und verändern sich über die Zeit. Das ist bedingt durch die Entwicklung des Unternehmens und die sich ständig verändernde Bedrohungslage zum Beispiel vor Cyber-Angriffen. Nur wenn ein vCISO die Risiken versteht und korrekt bewerten kann, dann hat er die Möglichkeit mit den passenden Maßnahmen auf die Risiken zu reagieren.

Blog-Artikel teilen

Jetzt Kontakt aufnehmen!
Logo Allianz für Cybersecurity
BSI APT-Response Dienstleister
Diese Artikel könnten Sie auch interessieren
Fotomontage zum Thema Security Awareness. Zeigt Logo der Dr. Michael Gorski Consulting Gmbh, darunter steht: Keine Security Awareness? Hintergrund zeigt brennendes Feuer und andeutung eines Sicherheits-Symbols. Vordergründig steht, von hinten zu sehen, ein Feuerwehrmann in voller Montur mit Axt.
Security Awareness

„Wir machen schon einmal im Jahr ein Training zur Security Awareness…“ Das hören wir so immer mal wieder. Grund genug, mal darüber zu reden. Denn einmal im Jahr ein Security-Awareness-Training – reicht das? Gibt es denn eine akute Gefahr?

Weiterlesen »
Bild zeigt zum Thema Cyberkrieg & Cyberwar Montage eines im dunklen sitzenden Hackers. Im Hintergrund Einser und Nullen und eine digitalisierte Weltkarte. Schriftzug:"Cybekrieg Cyberwar, Subline: sind wir sicher?"
Cyberkrieg & Cyber Warfare

Aktuell sind Cyberkrieg, hybride Kriegsführung und Hackerangriffe bei vielen Thema. Die Unsicherheit ist groß, das Wissen dazu gering. Was kann man tun, um sich zu schützen und mit welchen Gefahren muss man wirklich rechnen? Eins vorab: Natürlich gibt es Wege, sich zu schützen.

Weiterlesen »
Kennen Sie schon unseren YouTube Kanal?