Mit der zunehmenden Bedeutung der Rolle des Chief Information Security Officer steigen auch die Erwartungen der einstellenden Unternehmen. Dies sind die wichtigsten Eigenschaften und Fähigkeiten, nach denen Personalverantwortliche suchen müssen. [...]
Sie sind auf der Suche nach Ihrer nächsten Stelle als CISO, vorzugsweise mit mehr Gehalt, besseren Sozialleistungen und mehr Verantwortung und Respekt am Arbeitsplatz? Dann müssen Sie wissen, welche Fähigkeiten und Qualitäten potenzielle Arbeitgeber von ihren CISOs erwarten, um Ihre Chancen auf den Traumjob zu maximieren. Hier sind die sechs wichtigsten Eigenschaften, nach denen Unternehmen laut Personalvermittlern bei einem CISO suchen.
Frühere Erfahrungen als CISO
Die Arbeitgeber von heute erwarten von neuen CISOs, dass sie eine Fülle von Fähigkeiten für ihre Position mitbringen. Laut Burke Autrey, Partner und CEO des IT-Talentvermittlungsunternehmens Fortium Partners, suchen Unternehmen nach erfahrenen Kandidaten, die bereits „mehrfach in verschiedenen Unternehmen als CISO tätig waren“. In ihren früheren Positionen umfassten ihre Aufgaben „Governance, Compliance, Überwachung/Bedrohungserkennung und Reaktion auf Vorfälle als Führungskraft“, sagt er. Solche CISOs haben auch Erfahrung in der Verwaltung von „Budgets, Personalressourcen, Interaktion mit anderen Führungskräften und dem Vorstand sowie in der Zusammenarbeit mit Strafverfolgungsbehörden und Versicherungen“ gesammelt.
„Unsere Kunden suchen nach früheren Erfahrungen mit Sicherheitsverletzungen und wie sie damit umgegangen sind, wo sie vielleicht etwas übersehen haben, wie sie darauf reagiert haben und wie sie die Abwehrkräfte ihrer Unternehmen gestärkt haben“, stimmt Michael Piacente, geschäftsführender Gesellschafter und Mitbegründer der Personalberatung Hitch Partners, zu. Gleichzeitig sind viele kleinere Unternehmen bereit, Sicherheitsexperten ihre ersten CISO-Jobs zu geben, sofern sie über die erforderlichen Fähigkeiten verfügen.
Fachwissen über Produktsicherheit
„Die wichtigste Fähigkeit ist zweifelsohne eine gründliche Kenntnis der Anwendungs- und Produktsicherheit“, sagt Piacente. „Das ist die Fähigkeit, auf einer sehr tiefen technischen Ebene mit Produktentwicklungs- und Engineering-Teams zusammenzuarbeiten.“
Dies gilt insbesondere für Technologieunternehmen. „Die meisten unserer Kunden gehören zu den anspruchsvollen, bahnbrechenden Softwareunternehmen, bei denen die Einhaltung der Vorschriften für die Produkt- und Anwendungssicherheit, die Befähigung der Kunden und die Einstellung neuer Mitarbeiter der Schlüssel zum Erfolg ihrer Plattform sind“, sagt Piacente. „In ihrer Welt ist Sicherheit nicht nur eine Notwendigkeit oder ein Kästchen zum Ankreuzen, sondern eine Funktion ihrer eigentlichen Plattform.“
Die Fähigkeit Risiken vorherzusehen
Eine weitere unabdingbare Fähigkeit ist die Kenntnis von Governance, Risikomanagement und Compliance. „Unternehmen wünschen sich einen CISO, der die Feinheiten eines Unternehmens auf dem Weg zu Zertifizierungen wie ISO, SOC2 oder FedRAMP [engl.] versteht“, sagt Piacente. „Ein angehender CISO muss diese Prozesse durchlaufen haben, um die Feinheiten dessen zu verstehen, was das Unternehmen braucht und was nicht.“
Ganz allgemein wünschen sich Unternehmen CISOs, die auf der Grundlage einer Philosophie der vorausschauenden Risikominderung arbeiten können, sagt Piacente. „Solche CISOs wissen, welche Probleme sich in Bezug auf die Produktsicherheit, die Einhaltung von Vorschriften und mögliche Bedrohungen am Horizont abzeichnen.
Fähigkeit, Vertrauen bei Kunden und Partnern aufzubauen
Angehende CISOs müssen auch zeigen können, dass sie den Vertriebs- und Marketingteams des Unternehmens helfen können, Vertrauen in die Sicherheit ihrer Produkte und Dienstleistungen zu schaffen. CISOs können zum Beispiel gebeten werden, Fragebögen auszufüllen, die Kunden oder Partner schicken, um die Sicherheitsverfahren des Unternehmens zu überprüfen. „Viele unserer Kunden sind Softwareunternehmen, die CISOs suchen, die in der Lage sind, den IT-Betrieb eines Unternehmens zu verwalten, einschließlich Anwendungen, Geschäftstechnologie, Infrastruktur – alles“, sagt Piacente.
„Während CISOs traditionell mit einem gewissen Maß an Kunden- und Partnersupport in Verbindung gebracht wurden, hat dieser Teil des CISO-Aufgabenbereichs in den letzten drei Jahren rapide zugenommen und an Intensität gewonnen. Ungefähr 80 % unserer Suchanfragen beinhalten irgendeine Form von Kunden- und Partnerbetreuung. Wir gehen davon aus, dass sich dieser Trend fortsetzt, da die CISO-Funktion zu einem wichtigen Impulsgeber und Kollaborateur im gesamten Unternehmen wird.
Zertifikate, MBAs, Allgemeinwissen in Computerwissenschaften
Viele Arbeitgeber berücksichtigen bei der Einstellung von CISOs entsprechende Zertifizierungen. Laut Autrey haben traditionelle CISOs mit technischem/ingenieurwissenschaftlichem Hintergrund oft sicherheitsspezifische Zertifizierungen wie CISSP (Certified Information Systems Security Professional), CISA (Certified Information Systems Auditor) oder CISM (Certified Information Security Manager) erworben.
Da sich die Rolle des CISO jedoch weiterentwickelt, werden risikobasierte und hybride technische/risikobasierte Sicherheitsleiter mehr nach ihrer Erfahrung, ihrem Auftreten als Führungskraft und ihren Fähigkeiten in der Vorstandsetage beurteilt als nach ihrem technischen Wissen und ihren Zertifizierungen. Viele CISOs betrachten die Inhalte der Zertifizierungen als gute Weiterbildung, auch wenn sie die Zertifizierung nicht erhalten. Arbeitgeber sollten Zertifizierungen und Weiterbildungen als ein Element eines gut ausgebildeten CISOs diskutieren.
Wenn es um allgemeine Abschlüsse/Zertifikate geht, „ist Computerwissenschaft zweifelsohne das wichtigste Element, nach dem Arbeitgeber bei den meisten CISOs suchen“, sagt Piacente. „Bei unseren Kunden haben viele der CISOs, die sie eingestellt haben, als Softwareentwickler und Ingenieure angefangen, sie haben also einen computerwissenschaftlichen Hintergrund.“
Piacente merkt an, dass die CISOs der cloudbasierten Softwareunternehmen, mit denen sein Unternehmen zusammenarbeitet, in der Regel eine tiefere Ausbildung im Bereich Software-Engineering oder einen entsprechenden technischen/entwicklerischen Hintergrund haben. „Was die Zertifizierung angeht, kann ich diese Logik ebenfalls nachvollziehen“, sagt er. „Allerdings gab es in den letzten fünf Jahren bei keiner einzigen Suche, bei der wir einen CISO vermittelt haben, eine feste Anforderung für irgendeine Art von Zertifizierung. Im Cloud-nativen Bereich hat das einfach keine hohe Priorität, aber bei anderen CISO-Mustern ist es sicherlich sinnvoll.“
Viele Arbeitgeber wollen auch, dass ihre CISOs einen Master in Business Administration (MBA) haben. „Es mag überraschen, aber der Grund dafür, dass Arbeitgeber von ihren CISOs einen MBA verlangen, ist die Aufwertung der Rolle des CISOs in den letzten drei bis fünf Jahren, wobei er eine größere Rolle in allgemeinen Geschäftsangelegenheiten spielt und der Geschäftsführung Bericht erstattet“, bemerkt Piacente. „Ein MBA ist zwar nicht entscheidend für die Einstellung als CISO, aber sicherlich hilfreich.
Zwischenmenschliche und soziale Kompetenzen
Da CISOs konstruktiv mit anderen im Unternehmen zusammenarbeiten müssen, suchen Arbeitgeber nach Personen mit soliden zwischenmenschlichen und sozialen Fähigkeiten. Das bedeutet, dass sie „unter Druck ruhig bleiben, ihre Autorität nicht in Frage stellen und in der Lage sind, die Bedrohungen und Konsequenzen in Geschäftssprache zu übersetzen“, sagt Autrey.
Die CISOs von heute brauchen auch eine wichtige Persönlichkeitseigenschaft: Einfühlungsvermögen. „Das bedeutet Einfühlungsvermögen in Ihre interne Organisation, Ihre externen Partner und potenziellen Kunden“, sagt Piacente. „Sie müssen auch verstehen, dass nicht jeder die Sicherheit so versteht wie sie selbst, und sie müssen in der Lage sein, mit diesen Menschen zu sprechen und dabei Begriffe zu verwenden, die sie verstehen.“
Außerdem wollen die Arbeitgeber, dass ihre CISOs in der Lage sind, realistische Pläne, Ziele und Fristen für ihre Abteilungen festzulegen, und dass sie in der Lage sind, dies alles in klaren, nicht-technischen Begriffen zu erklären. „Das Publikum, mit dem der CISO arbeiten muss, ist äußerst vielfältig und reicht vom Vertrieb über Marketing, den Generalrat und die Rechtsabteilung bis hin zu den Finanzen“, sagt Piacente. „Wenn Sie versuchen, eine Mauer um das Unternehmen zu bauen, ohne auf die Bedürfnisse anderer Rücksicht zu nehmen, werden Ihre Kollegen das nicht respektieren. Vielmehr werden sie versuchen, sie zu umgehen. Wenn Sie jedoch mit ihnen zusammenarbeiten, um Lösungen für die Cybersicherheit zu entwickeln, die es ihnen ermöglichen, ihre Arbeit zu erledigen und gleichzeitig ein geringeres Risiko einzugehen, dann ist der Erfolg vorprogrammiert.“
*James Careless ist freiberuflicher Autor, Feuilletonist und PR-Autor.
Be the first to comment