WavebreakmediaMicro - stock.adob
Auf einen Wechsel in der IT-Sicherheit gut vorbereitet sein
Wenn im Bereich IT Security ein Führungswechsel ansteht, kann das erhebliche Folgen für das Unternehmen haben. Daher sollte die Nachfolge eines CISO vorausschauend geplant werden.
Angesichts der zunehmenden Häufigkeit und Schwere von Sicherheitsvorfällen in allen Geschäftsbereichen ist der Bedarf an einem Chief Information Security Officer (CISO) in Unternehmen ungebrochen. Der enorme Druck, der mit dieser Funktion verbunden ist, und die überwältigende Nachfrage nach qualifizierten Kandidaten führen jedoch dazu, dass es hier geplant oder unvorhergesehen zu einem Wechsel kommen kann. Vor diesem Hintergrund ist es für Unternehmen unerlässlich, sich auf das unvermeidliche Ausscheiden ihrer CISOs vorzubereiten.
Die gute Nachricht ist, dass eine proaktive CISO-Nachfolgeplanung viele mögliche Vorteile bietet, darunter die folgenden:
- Kosteneinsparungen. Eine vorausschauende Planung und proaktive Ermittlung von Nachfolgekandidaten kann dazu beitragen, die Einstellungskosten zu senken.
- Kontinuität. Durch die Heranführung und Beförderung eines bestehenden Mitarbeiters, zum Beispiel eines Beauftragten für Informationssicherheit oder eines stellvertretenden CISO, in die höchste Sicherheitsfunktion entfällt die Notwendigkeit der Schulung eines neuen Mitarbeiters in dieser Umgebung.
- Unternehmenssicherheit. Und schließlich, und das ist das Wichtigste, erhöht ein existierender Plan für den Fall, dass ein CISO ausscheidet, die Stabilität des Unternehmens erheblich.
7 bewährte Verfahren für die CISO-Nachfolgeplanung
Vorausschauend zu agieren, gehört zu den Grundprinzipien eines CISO. Und das bedeutet auch, dass alle CISOs, in jeder Art von Organisation und Umgebung, dazu beitragen sollten, Arbeitgeber strategisch auf ihr mögliches Ausscheiden und ihre Ersetzung vorzubereiten.
Wenn man als CISO die Nachfolgeplanung vernachlässigt und sich selbst als unentbehrlich betrachtet, mag das wie ein Mittel zur Arbeitsplatzsicherung erscheinen, aber es ist bestenfalls ein Mittel zur beruflichen Stagnation. In Anbetracht des Stresses, den die Position mit sich bringt, hat die Spitzenposition im Bereich der Cybersicherheit in der Regel eine begrenzte Lebensdauer. Kluge CISOs haben daher bereits zu Beginn ihrer Amtszeit folgende Vorstellungen:
- wie lange sie ungefähr zu bleiben gedenken;
- Ziele für die nächsten Abschnitte ihrer Laufbahn und wie sie diese erreichen wollen;
- wer ihr Nachfolger werden könnte;
- wie und wann sich diese Übergänge idealerweise vollziehen würden.
CEOs, Vorstandsmitglieder und andere Führungskräfte sollten auch sicherstellen, dass Maßnahmen getroffen werden, um eine relativ reibungslose CISO-Nachfolge zu gewährleisten, falls eine solche notwendig wird. Etwa mit diesen bewährten Vorgehensweisen.
1. Frühzeitig mit der Nachfolgeplanung für den CISO beginnen
Idealerweise sollten CISOs die Nachfolgeplanung innerhalb der ersten sechs Monate nach der Übernahme einer neuen Funktion in Angriff nehmen und mit einer Überprüfung des Nachfolgeplans des vorherigen CISOs beginnen. Als Nächstes sollten sie alle Nachfolgepläne prüfen, die für andere Führungspositionen existieren, um organisationsspezifische Punkte zu identifizieren, die der Plan für das Sicherheitsprogramm enthalten sollte.
2. Künftige Sicherheitsanforderungen berücksichtigen
Die IT-Sicherheit entwickelt sich, wie die Technologie, ständig weiter. Bei der Nachfolgeplanung für CISOs muss man voraussehen, wie das Sicherheitsumfeld in Zukunft aussehen wird, und sich entsprechend vorbereiten. Auch wenn niemand genau vorhersagen kann, was morgen passieren wird, ist es möglich, eine fundierte Einschätzung der Sicherheitsprobleme vorzunehmen, die wahrscheinlich auftreten oder andauern werden, und zwar auf der Grundlage der folgenden Punkte:
- wie sich ein bestimmtes Unternehmen entwickelt; und
- wie sich die Technologie weiterentwickelt.
Seit dem Ausbruch der COVID-19-Pandemie haben Unternehmen zum Beispiel eine Zunahme von Remote-Arbeit, SaaS und Cloud Computing zu verzeichnen. CISOs sollten sich daher die folgenden Fragen stellen:
- Welche Auswirkungen haben diese Veränderungen auf die Sicherheit?
- Welche Strategien, Technologien und Fähigkeiten könnten dabei helfen, die damit verbundenen Sicherheitsanforderungen zu erfüllen?
Entwickeln Sie nach einer Prognose der künftigen Sicherheitsanforderungen ein Schulungsprogramm, um sicherzustellen, dass die Mitarbeiter über die erforderlichen Fähigkeiten verfügen, um die Herausforderungen von morgen zu meistern.
3. Ausbildung künftiger Führungskräfte
Beurteilen Sie die Stärken und Schwächen der vorhandenen hochrangigen Sicherheitskräfte sowie ihre Persönlichkeiten, Berufserfahrungen und Karriereziele im Kontext der zu erwartenden Sicherheitslandschaft und der Unternehmensanforderungen. Überlegen Sie, wer zum Beispiel am besten mit einer anfänglichen Krise umgehen kann und wer langfristig für Stabilität sorgen kann. Planen Sie Führungs- und Managementschulungen ein, die diese künftigen Führungskräfte in die Lage versetzen, bei Bedarf neue Aufgaben zu übernehmen.
Diese angehenden Sicherheitsverantwortlichen haben wahrscheinlich ihre eigenen Gedanken zu aufkommenden Trends und Bedrohungen, also beziehen Sie sie aktiv in Diskussionen über die Zukunftssicherung ein. Beziehen Sie ihre Ideen in Schulungen und Planungen ein, um ihnen das Gefühl zu geben, dass sie an dem Prozess beteiligt sind, was die Wahrscheinlichkeit einer erfolgreichen Nachfolge erhöht.
4. Die Geschäftsführung einbeziehen
Da die Spitzenposition im Bereich der Cybersicherheit für die meisten Unternehmen von zunehmender strategischer Bedeutung ist, sollten die Vorstände und Geschäftsführung die Entwicklung und Pflege von CISO-Nachfolgeplänen verlangen. Sie sollten diese Pläne auch überprüfen und genehmigen, um sicherzustellen, dass sie Folgendes tun:
- sich an den allgemeinen Geschäftsanforderungen orientieren; und
- sowohl geplante als auch ungeplante Abgänge von CISOs berücksichtigen.
5. Vorbereitung auf das geplante Ausscheiden des CISO
Zu den geplanten Abgängen gehören Pensionierungen und interne Wechsel, zum Beispiel vom CISO zum Chief Risk Officer (CRO). In bestimmten Fällen können CISOs auch mit ihren Arbeitgebern vereinbaren, dass sie das Unternehmen verlassen, um sich externen Möglichkeiten zuzuwenden, sobald sie bestimmte hochgesteckte Ziele erreicht haben. Einige Sicherheitsverantwortliche spezialisieren sich beispielsweise darauf, Unternehmen bei der Wiederherstellung von Datenverstößen zu begleiten, und ziehen weiter, sobald sie erfolgreich waren.
Mit einer langen Vorlaufzeit können sich Unternehmen den Luxus leisten, einen neuen CISO einzuarbeiten, bevor der alte ausscheidet. Dies könnte bedeuten, dass ein derzeitiger Mitarbeiter befördert oder ein externer Mitarbeiter eingestellt wird. Bei ausreichender Vorlaufzeit kann der neue CISO den scheidenden CISO begleiten, um sich mit den bestehenden Mitarbeitern, Richtlinien und Prozessen vertraut zu machen, was zu minimalen betrieblichen und kulturellen Störungen führt.
6. Vorbereitung auf das ungeplante Ausscheiden von eines CISO
Leider kann das Ausscheiden eines CISO auch ohne Vorwarnung erfolgen. Hierfür können mannigfaltige Gründe verantwortlich sein, die das Unternehmen dann unerwartet in die Bredouille bringen.
Um auf solche unvorhergesehenen Ereignisse vorbereitet zu sein, sollte sichergestellt werden, dass jede Sicherheitsfunktion über eine Dokumentation verfügt, in der ihre wichtigsten Zuständigkeiten und Aufgaben beschrieben sind. Die Personalabteilung sollte diese Unterlagen aufbewahren, und der CISO sollte sie jährlich überprüfen, für den Fall, dass Ersatzpersonal sie als Schulungsleitfaden verwenden muss.
Im Idealfall verfügen die Sicherheitsmitarbeiter auch über Kenntnisse in anderen Bereichen, was besonders wichtig ist, wenn es um die Unterstützung von Einzelpositionen geht. Wenn zum Beispiel ein leitender Sicherheitsarchitekt plötzlich als CISO fungieren muss, müssen andere Kollegen möglicherweise einen Teil der typischen Arbeitslast des Architekten übernehmen.
Überlegen Sie sich einen Ausweichplan für den Fall, dass ein plötzliches Ausscheiden des CISO dazu führt, dass interne Mitarbeiter aushelfen müssen und nicht mehr für ihre üblichen Aufgaben zur Verfügung stehen. Dies könnte bedeuten, einige Sicherheitsaufgaben an Drittanbieter auszulagern oder Personaldienstleister zu finden, die über Fachwissen bei der Beschaffung von temporären oder dauerhaften Mitarbeitern mit Schlüsselqualifikationen verfügen.
7. Regelmäßige Überprüfung der CISO-Nachfolgepläne
CISOs, CEOs, Vorstände und andere relevante Führungskräfte sollten Nachfolgepläne mindestens einmal jährlich überprüfen. Zu den wichtigsten Veränderungen innerhalb eines Unternehmens, die eine Überprüfung auslösen sollten, gehören die folgenden:
- sich verändernde wirtschaftliche Bedingungen;
- Fusionen und Übernahmen;
- bedeutende Sicherheitsvorfälle;
- Fluktuation unter den stellvertretenden Sicherheitsverantwortlichen; und
- Bedenken hinsichtlich der Fähigkeiten des Security-Teams.
Eine Sache ist sicher: Der Wandel wird kommen. Unternehmen, die aktive Maßnahmen zur Gestaltung der Zukunft ergreifen, anstatt nur darauf zu reagieren, werden in einer besseren Position sein, um erfolgreich zu sein. Eine CISO-Nachfolgeplanung kann Unternehmen dabei helfen, auf das Unvermeidliche vorbereitet zu sein, wenn es eintritt.