When CISOs are doomed to fail, and how to improve your chances of success

Es gibt einen Witz, den der Kryptograf Jon Callas gerne erzählt: CISO steht für Chief Intrusion Scapegoat Officer, „weil CISOs oft in eine Position gedrängt werden, in der sie keinen Erfolg haben“. Callas, Director of Public Interest Tech bei der Electronic Frontier Foundation, sagt, dass Sicherheitsbeamte oft „gleichzeitig verantwortlich und machtlos“ sind. Sie wissen, was sie tun sollten, um Risiken zu mindern, aber sie können nicht genug Unterstützung bekommen.

Diese Zwangslage droht sie zu überwältigen. Fast 90 % der CISOs sehen sich selbst als mäßig oder stark belastet, und viele wechseln häufig den Job. Laut der globalen Umfrage von Heidrick & Struggles 2022 hat fast ein Viertel der CISOs ihre vorherige Position seit weniger als zwei Jahren inne und 62 % sind seit weniger als einem Jahr in ihrer aktuellen Position.

“Es ist wichtig, Schlaglöcher zu reparieren, denn früher oder später wird jemand in das Schlagloch fallen”, sagt Callas. „Die meisten Bedrohungen, denen wir ausgesetzt sind, sind tatsächlich statistischer Natur; sie warten nur darauf, dass jemand zu Fall kommt.“

Trotz der Milliarden von Dollar, die jedes Jahr durch Cyberkriminalität verloren gehen, denken viele Unternehmen immer noch, dass die Einstellung eines CISO nichts anderes als ein Kästchen ist, das überprüft werden muss. Sobald sie dies tun, funktionieren sie so, als ob die Sicherheit gelöst wäre. „Unternehmen müssen verstehen, dass es zu ihrem Vorteil ist, den CISO zu unterstützen“, fügt Callas hinzu. „Und auch CISOs müssen sich Vertrauen verdienen.“

Chief Information Security Officers können Strategien anwenden, um ihre Erfolgschancen zu erhöhen und Warnsignale zu erkennen. Hier sind einige davon:

Suchen Sie nach Anzeichen für einen schlechten CISO-Job

Manchmal erkennen CISO-Kandidaten während des Vorstellungsgesprächs einen schlechten Arbeitgeber. „Sie versuchen nicht nur, sie davon zu überzeugen, dass Sie die Person sind, die sie einstellen sollten, sondern führen auch Interviews mit ihnen“, sagt Callas. Der Rekrutierungsprozess ist wie ein Zero-Knowledge-Proof, denn keine Seite möchte offen darüber sein, was vor sich geht. Eine der Prioritäten von Callas ist es, zu erfahren, wie sehr sich das Unternehmen um Sicherheit kümmert, und er tut dies, indem er direkte Fragen stellt. Einmal gab eine Führungskraft, mit der er sprach, zu, dass das Management keinen besseren Schutz wollte.

Copyright © 2022 IDG Communications, Inc.

Leave a Comment

Your email address will not be published. Required fields are marked *