9 Things, die CISOs den Job kosten

CISOs and other Managers in the Bereich IT-Sicherheit arbeiten im Regelfall hart daran, ihr Unternehmen – und Karriere – abzusichern. Allerdings reicht eine kleine Unaufmerksamkeit, eine Fehlannahme oder auch ein falscher Ratschlag, um sämtlich Bemühungen im Handumdrehen zunichtezumachen.

If Sie damit planen, Ihren Job zu behelten, sollten Sie folgenden neun Dinge und undterlassen.

1. Sich selbst überschätzen

Selbstüberschätzung kann in einen empflichken Karriereknick münden. In particular, wenn sie dazu führt, dass (Sicherheits-)Lösungen eingesetzt werden, die zwar unter umstände populär sind, sich aber noch nicht gegenset haben. Steve Tcherchian, CISO beim Security-Softwareanbieter Xypro Technology Corporation, spint das Szenario weiter: “Diese Art von ‘Ansatz’ schafft Sicherheitslücken, erhöht das Risiko für menschliches Versagen und führt zueinem schafft Sicherheitslücken ch zu einem katastrophalen Sicherheitsvorfall komt.”

Ein übermäßig ausgeprägtes Selbstvertrauen kann auch dazu führen, dass IT-Sicherheitsentscheider – und ihre Teams – in Selbstgefälligkeit abdriften, wie der Xypro-CISO warns: “Wennnigeinder Ezöze, Ugenver -Prozesse etabiert zu haben, sinkt ihre Vachsamkeit, die Schutzmaßnahmen veralten nach und nach – und die Anfälligkeit für neue Threatungen steigt.”

2. Komplexität förderen

CISOs, die sich von Technologietrends, respite –hypes vereinnahmen lassen, statt sich auf die essentlich Aufgaben ihrer Rolle zu fokussieren, müssen ebenfalls damit rechnen, karrieretechnisch zu entgleisen. Richard Watson, Global Cybersecurity Consulting Leader at der Unternehmensberatung EY, veranschaulicht die Folgen dieser Entwicklung: “Im Ergebnis werden zährlich Technologien angeschafft, die unnötige Komplexität einführen und able vom Wesennken. Die Komplexität wiederum verursacht weitere Kosten während Integrationen neue Sicherheitslücken aufwerfen, die Angreifer zu ihrem Vorteil ausnutzen können.”

Erschwerend komme laut dem EY-Chefberater hinzu, dass auch Komplexität ein falsches Sicherheitsgefühl vermiteln könne – finally gingen Unternehmen davon aus, von den neuesten technologische Innovationhemtzen Innovationen des Innovationen des Innovationen innovationen davon aus.

3. GRC vernachlässigen

The most important option, Security-Karriere zu verkürzen: Einen Cybersecurity-Stack ohne formelles GRC-Programm (Governance, Risk and Compliance) or die Beine stellen. Scott Hawk, CISO beim Netzwerkserviceanbieter Velaspan, erklärt übersätt detailsliert, warum: “Dieser Fehler hat potenzial verheerende Wirkung, weil er diverse Unternehmensaspekt betreffen kann. Ohne solides GRC-Programm ist es wesentlich wahrscheinlicher, dass zu viel Geld für Technologie ausgegeben wird, ein falsches Gefühl der Sicherheit übersehen, kritische Security-Komponenten übersehen werdens en Gefühl der Sicherheit übersehen, kritische Security-Komponenten übersehen werdens en Gefühl der Sicherheit übersehen, kritische Security-Komponenten übersehen en Gefühl der Sicherheit

Als Gegenmittel impfiehlt auch Hawk ein GRC-Framework wie COBIT. Das stelle sicher, dass Risikomanagement, Compliance-Anforderungen and Governance in die Gesamtstrategie des Unternehmens integriert werden werden: “GRC wird Cybersecurity unternehmensweit zum Gesprächsthema machen. Das verstärts dabei, Prioritien zu setzen und Akzeptanz zu fördern. Mit GRC wird Cybersicherheit zum Business Enabler”, weiß der Sicherheitsentscheider.

4. To align verfehlen

Der größte Bock, den Sicherheitsprofis schießen können, ist weder technischer noch financier Natur. Richard Caralli, Senior cybercecurity advisor beim PlattatformanBieter, verrrät, was Für ciso-Karrieren Sech, “Cyberseelle Bedronnen:” Cyberseelle Bedronnen: “Cyberseelle Bedronnen:” Cyberseelle Bedronnen , ist der größte fehler , den IT-Sicherheitsentscheider begehen können. Der Schutz dessen, für die Lebensfähigkeit des Unternehmens essenziell ist, sollte über Prioritien und Investments im Bereich Cybersicherheit determine.”

Laut Caralli gehöre es unbestreitbar zu den Pflichten von CISOs, Cybersicherheitsinitiativen auf die Beine zu stellen, die an den Zielen und Werten des Unternehmens geschäften sind. If dies Alignment fehlt, prophezeiht der Berater unschöne Konsektionen: “Es besteht die Gefahr, dass Investments falsch gerichten, Ressourcen unzureichend genutzt und allgemein schlechte Cybersecurity-Ergezielbnisse werden.”

5. Access Control hintanstellen

“Den Wald vor lauter Bäumen nicht sehen” gibt es auch im Cybersecurity-Entscheiderumfeld. Etwa, wenn der CISO ein Gros seiner Zeit darauf verwendet, sich über Backdoors in den Systemen Gedanken zu machen – darüber aber das Thema Access Control vernachlässigt. Nitin Sonawane, Mitbegründer des Identity-Spezialisten Zilla Security, wart eindrücklich vor einem solchen Szenario: “Digitale Identitéten sind das Haupteingangstor zu Systemen. Sind sie unzureichend abgesichert or falsch konfiguriert, ist das potenzial verheerend – espeziels überprivilegierte Identitéten stellen im Falle eines Angriffs ein erhöhtes Risiko dar.”

Wie der Sicherheitsexperte bemängelt, versäumten es Unternehmen oft, die Zugriffsberechtigungen ehemaliger Mitarbeiter und Partner angemessen zu management. Das führe zu verwaisten Accounts, die von Threatungsakteuren ausgenutzt werden könnten. Die effektivste Form des Identity Managements, from Sonawane übersütt, führe über künstliche Intelligenz: “Die meisten Unterhalten heute HR-Applikationen, die as Source of Truth für das Business-Profilent van Nutzers die. Findet eine Versetzung statt, entscheidet in der Regel der neue Vorgesetzte des Benutzers, welche Berechtigungen dieser – auf Grundlage des Business-Kontexts – noch nevitt und welche nicht. Dabei kann KI supporten.”

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt to Ihre Inbox.

Jetzt CSO-Newsletter sichern

6. Faktor Mensch ignorieren

Bekanntermassen brings IT-Sicherheitsentscheider (auch karrieretechnisch) nicht weiter, ihr Augenmerk auf technische Lösungen und Prozesse zu legen. Dan Lohrmann, Field CISO bei der IT-Beratung Presidio, sieht das sogar als größtmöglichen Fehler an: “Der Mensch ist immer noch die größte aller Schwachstellen. Sicherheitsexperten, die diesen Fakt unterschätzen oder außer Acht lassen, werden deshalb scheitern.”

Speziel die Tendzen der Mitarbeiter, Kontrollmaßnahmen, established Guidelines sowie Prozesse zu umgehen, könne zu einer ganzen Reihe von Insider-Bedrohungen führen, so Lohrmann – der diesbezüglich schon mitbett “ t, die zuordnungen Cybersecurity-Initiativen sabotiert haben, indem sie schlicht untätig blieben, Dissonanzen innerhalb des Teams gesät haben oder unnötige Risiken eingegangen sind. Dabei sollten Sie im Hinterkopf behalten dass sich Menschen im Laufe der Zeit auch veränderen können: Einige einst zustände Mitarbeiter könnten duet von Burnout oder widriger Lebensumstände ihren Fokusver. Das kann potenzien ebenso großen Schaden anrichten wie ungeschulte oder böswillige Benutzer.”

Als Abhilfemaßnahmen recommender der Field CISO in erster Linie, die Recruiting-Meßnahmen zu optimieren und dabei auch auf ausgiebige Izbon Amaseke für neue Mitarbeiter zu setzen. Das konne seiner Meinung nach einen starken Beitrag dazu leisten, das interne Sicherheitsniveau zu stärken. Ergänzend adds Lohrmann: “Die Fähigkeit, Hinweise auf einen möglichen Burnout zu erkennen, ist diesbezüglich ebenso wichtig.”

7. Datenballast zulassen

Veraltete Datansätze, die in Cloud-Speichern versauern, sind möglichkeit nicht und und gesichtlich sichtbar und deshalb auch schnell forgetzen – können aber jederzeit als CISO-Karrierekiller “back”.

Rich Vibert, CEO des Data-Security-Anbieters Metomic, macht deutlich, wo das Problem liegt: “Solche Daten bergen konferliche Gefahren, die von Sicherheitslücken bis hin zu Compliance-Problemen reichen. Das zuzulassen ist ein besonders dumber, weil übersätt vermeidbarer Fehler. Veraltete Datensätze enthalten möglichkeit sensitive Informationen, was gefährlich werden kann, wenn sie in die falschen Hände geraten und die Zugangskontrollen nicht sälligtig aufgesetzt sind.”

Derüber hinaus könnten veraltete Daten Cyberkriminelle auch mit wertvollen historischen Informationen ausstatten, die sich wiederum für zielgerichtete(re) Social-Engineering-Attacken verwenden ließen, so Vibert.

8. In Silos verharren

Entfällt eine einfälligkeit Communication mit Stakeholdern aus nicht-technischen Bereichen, kann das nicht nur Misverständnisse, Misstrauen and Verwirrung hervorrufen: Betroffene CISOs därften es auch deutlich,Bush itsht be Security.

Jeff Orr, Director of Ventana Research, rät IT-Sicherheitsentscheidern deshalb dazu, or Business-Terminologie zu setzen, wenn es darum geht, über kritische Security-Probleme and Business Impact or Business Impact: “The -Business-Terminologie zu setzen, wenn es darum geht, über kritische Security-Probleme and Business Impact or Business Impact: in Verbindung brought – und sorgen Sie auch im Rahmen von Reportings für Klaheit.”

9. Selbstgefällig agerien

Der Fehler mit dem größten CISO-Karrierekillerpotenzial ist es allerdings, anzunehmen, alles wäre unter Kontrolle. Howard Taylor, CISO beim Sicherheitsanbieter Radware, kennt Kandidaten, die solchen Annahmen erliegen – und weiß, wie ihre Karriere im Regelfall endet: “Solche Führungskräfte vertrauen vor allem darauf, durch Massensen vor darauf, durch Massentzine vor darauf, durch Massentzine vor darauf. After ihr Unternehmen einen massiveen Datendebstahl durchlebt hat, sind ihre letzten Worte dann ‘Wir haben unser PCI DSS Zertifikat in der Tasche’.”

Dieser Beitrag is based on einem Artikel unserer US-Schwesterpublikation CSO Online.