Eine Einführung für die Geschäftsleitung (Teil 3)
Cyber-Fähigkeiten sind bereits sehr gefragt, und die Studie Global Information Security Workforce schätzt, dass bis 2022 350’000 entsprechend ausgebildete und erfahrene Personen in Europa fehlen werden. Unternehmen müssen jetzt Massnahmen ergreifen, um sicherzustellen, dass sie in Zukunft auf Cybersicherheitsexpertise zurückgreifen können.
Was sollte die Geschäftsleitung tun?
Feststellung Ihrer aktuellen Fähigkeiten
Die Geschäftsleitung sollte verstehen, welche Cyber-Expertise es in der Organisation gibt und was Sie benötigen. Haben Sie einen CISO? Ein Informationssicherheitsteam? Incident Manager? Wenn nicht, sollten Sie?
Diese Informationen geben Ihnen einen Einblick in die Widerstandsfähigkeit der Cybersicherheitsmassnahmen (hängen Sie derzeit von einer Person ab?) und helfen Ihnen auch, die Herkunft der erhaltenen Cybersicherheitsinformationen zu verstehen.
Vielleicht sollten Sie auch die Expertise der Geschäftsleitung selbst berücksichtigen. Verfügen Sie derzeit über ausreichende Fachkenntnisse, um sicherzustellen, dass die Geschäftsleitung in der Lage ist, angemessene strategische Entscheidungen zur Cybersecurity zu treffen? Sind Sie wahrscheinlich in der Lage, Schritt zu halten, wenn der technologische Fortschritt neue Sicherheitsherausforderungen mit sich bringt?
Was sollte Ihre Organisation tun?
Erstellen Sie einen Organisationsplan
Angesichts des Mangels an entsprechend qualifizierten Personen und der zunehmenden Abhängigkeit von digitalen Diensten, die gesichert werden müssen, werden Unternehmen, die sich nicht mit Cybersecurity befassen, bald in Verzug geraten.
- Finden Sie heraus, welche spezifische Cybersicherheitsexpertise Sie benötigen. „Cybersecurity“ umfasst eine Reihe verschiedener Fähigkeiten, von der Netzwerksicherheit über das Risikomanagement bis hin zur Reaktion auf Vorfälle. Es kann nützlich sein, zuerst zu überlegen, welche Fähigkeiten Sie benötigen, um Ihre Ziele oder Risiken mit höchster Priorität zu managen, und dann zu beurteilen, welche (falls vorhanden) dieser Fähigkeiten Sie nicht auslagern können und daher im Haus haben müssen.
- Stellen Sie fest, wie dringend Sie diese Fähigkeiten benötigen. Wenn Sie erwägen, bestehende Mitarbeiter zu schulen, unterschätzen Sie nicht, was dies bedeutet. Die Teilnahme an einer Schulung macht jemanden nicht zum Cyber-Sicherheitsexperten: Er muss auch die Möglichkeit haben, praktische Fähigkeiten zu entwickeln, und deshalb bedarf es der Unterstützung durch die Organisation. Wenn Sie kurzfristig Expertise benötigen, ist es vielleicht besser, einen Berater oder Spezialisten zu gewinnen.
- Überlegen Sie, wie Sie professionelle Cybersicherheits-Fähigkeiten erkennen können. Dies könnte bedeuten, dass die Überprüfung der Fähigkeit oder Qualität eines neuen Mitarbeiters und/oder die Entwicklung von Ausbildungsplänen schwierig ist. Überlegen Sie, wie Sie mit vertrauenswürdigen Partnern oder Branchenspezialisten zusammenarbeiten können, um Ihnen die nötige Sicherheit zu geben.
DIE FÄHIGKEITEN, DIE SIE HABEN, OPTIMAL NUTZEN
Der beste Weg, die Fähigkeiten, die Sie haben, zu nutzen, ist, die Dinge zu identifizieren und sich auf sie zu konzentrieren, die einzigartig für Sie sind (oder die Dinge, für die nur Menschen innerhalb Ihrer Organisation am besten geeignet sind). Dies kann durch den Einsatz etablierter, marktgängiger Technologien ermöglicht werden. So können Sie beispielsweise Cloud-Anbietern den Aufbau und die Sicherung Ihrer Infrastruktur gestatten, so dass Ihre Experten Zeit damit verbringen können, die einzigartigen Einblicke in Ihr Unternehmen zu nutzen.
Bauen Sie Ihre beste Belegschaft auf: gleichberechtigt, vielfältig und integrativ.
Aufgrund des Defizits an Fähigkeiten im Bereich der Cybersecurity muss Ihre Organisation Talente aus einem möglichst grossen Pool gewinnen und fördern. Die Cybersicherheitsbranche steht vor den gleichen Qualifikationsanforderungen wie alle technologieorientierten Branchen. Unternehmen können es schwierig finden, hochkarätiges Personal aus allen demografischen Gruppen einzustellen und zu halten. Tatsächlich gibt es viele talentierte Frauen und Minderheiten, die in der Cybersecurity arbeiten, aber oft weniger sichtbar sind. Sie können feindliche Arbeitsumgebungen erleben, die ihre Karriere verlangsamen oder unterbrechen oder die Branche ganz vermeiden. Die Zusammenarbeit bei der Bewältigung dieser Herausforderungen verschafft Ihrem Unternehmen einen Wettbewerbsvorteil.
ÜBER DIE TECHNISCHEN FÄHIGKEITEN HINAUSBLICKEN
Bei der Gestaltung von Jobrollen und gewünschten Kandidatenprofilen, insbesondere im Einstiegsbereich, sollten Sie ideenreich sein. Der Schutz unserer Organisationen beruht darauf, dass viele verschiedene technische und nicht-technische Fähigkeiten zusammengeführt werden, um Sicherheit zu gewährleisten, die mit den Zielen der Organisation übereinstimmt. Rekrutieren Sie für breitere Geschäftsfähigkeiten, Ambitionen und Potenziale sowie für aktuelle technische Fähigkeiten.
SICH UM IHR BESTEHENDES TALENT KÜMMERN
Wenn wir versuchen, unsere Organisationen vielfältiger und integrativer zu gestalten, konzentrieren wir uns oft darauf, neue Talente zu gewinnen, während wir die Probleme ignorieren, die Ihre derzeitigen Mitarbeiter daran hindern, zu bleiben und zu gedeihen, sobald sie einmal da sind. Die verfügbaren Talente mögen sich Ihrer eigenen direkten Kontrolle entziehen, aber Sie können kontrollieren, wie viel Cyber-Sicherheitstalente Sie aufgrund schwieriger Richtlinien und Prozesse sowie einer unangenehmen Arbeitskultur verlieren. Neben einer starken Sicherheitskultur sollten Sie sich auf eine vollständig integrative Arbeitskultur konzentrieren.
Schulen, einkaufen oder für die Zukunft entwickeln
Im Grossen und Ganzen gibt es 3 Möglichkeiten, um die Cyber-Expertise innerhalb Ihrer Organisation zu erhöhen.
SCHULUNG DES BESTEHENDEN PERSONALS
Berücksichtigen Sie nicht nur die Mitarbeiter, die bereits in sicherheitsrelevanten Positionen tätig sind. Schliesslich gibt es viele verschiedene Aspekte der Cybersecurity und jemand, der Experte für das Design einer Netzwerkarchitektur ist, könnte eine ganz andere Qualifikation haben als die Person, die mit dem Personal arbeitet, um sicherzustellen, dass Sicherheitsrichtlinien praktisch und effektiv sind.
Je nach den Bedürfnissen Ihrer Organisation und Ihres Personals kann die Schulung in Form von Training am Arbeitsplatz, beruflichen Qualifikationen oder Praktika erfolgen. Denken Sie daran, dass sich die Entwicklung von Cybersicherheitskompetenz nicht von vielen anderen Berufsbereichen unterscheidet: Die Mitarbeiter werden kontinuierliche Investitionen, Schulungen und Entwicklungsmöglichkeiten benötigen, um ihr Fachwissen zu verfeinern und auch mit den Veränderungen in der Branche Schritt zu halten.
BESCHAFFUNG VON EXTERNER EXPERTISE
Für die Einführung von externem Fachwissen stehen mehrere komplementäre Wege zur Verfügung. Eine grosse Organisation wird sie wahrscheinlich alle nutzen.
- Rekrutieren Sie einen qualifizierten, nicht geschäftsführenden Direktor für Ihre Geschäftsleitung.
- Beauftragen Sie einen Berater mit der Bereitstellung spezifischer Cyber-Sicherheitsberatung.
- Identifizieren Sie spezifische Cybersicherheitsdienste, die von einem Dritten erfüllt werden können.
- Rekrutieren Sie Mitarbeiter, die bereits über die erforderlichen Fähigkeiten verfügen.
Was wäre ein gutes Cybersecurity-Vorgehen?
Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was „gute“ Cybersecurity im Hinblick auf die Steigerung der Expertise im Bereich Cybersecurity ausmacht.
Frage 1
Als Organisation, welche Cyber-Expertise benötigen wir und was haben wir?
Sie sollten herausfinden:
- Welche Expertise benötigen wir, um unser Cyber-Risiko zu managen? Was müssen wir intern halten und was können wir auslagern?
- Ist jeder unserer Anforderungen fortlaufend? Zum Beispiel benötigen Sie vielleicht ein Penetrationstestteam, das nur einige Male im Jahr kommt, aber Sie brauchen vielleicht jemanden, der Ihre Systeme das ganze Jahr über überwacht.
- Welches Fachwissen ist das Minimum für alle Mitarbeiter? Wie können Sie eine gesunde Cybersicherheitskultur in der Organisation sicherstellen? Wie gut und wie oft schulen Sie das Personal in Ihren Sicherheitsrichtlinien und besonderen Bedrohungen, für die Ihr Unternehmen anfällig sein könnte?
- Wie viele Mitarbeiter haben wir derzeit mit Cyber-Sicherheitsexpertise? Welche Lücken, sagen sie, haben wir?
Frage 2
Als Organisation, was ist unser Plan zur Entwicklung dessen, was wir nicht haben?
Sie sollten herausfinden:
- Welche Fähigkeiten stehen im Vordergrund?
- Wer muss die Planung für Cyber-Know-how entwickeln, und wie müssen sie diese erfüllen?
- Wie findet man Menschen mit der richtigen Eignung für die verschiedenen Cybersicherheitsfähigkeiten? Denken Sie daran, dass Menschen mit unterschiedlichem Hintergrund und mit technischen und nichttechnischen Fähigkeiten für diesen Bereich gut geeignet sein können.
- Welche Unterstützung kann die Geschäftsleitung diesem Arbeitsfeld geben, sowohl in Bezug auf Investitionen als auch auf weitere Ressourcen?
Frage 3
Habe ich als Mitglied der Geschäftsleitung genügend Expertise, um Entscheidungen zur Cybersecurity rechtfertigen zu können?
- Habe ich genug Verständnis für die Entscheidungen, die in meiner Organisation zur Cybersecurity getroffen werden, um den Aktionären gegenüber rechenschaftspflichtig zu sein?
- Wenn nicht, welchen Plan habe ich, um mein Fachwissen zu erweitern? Es gibt auch viele Trainingsanbieter, die Schulungen speziell für die Geschäftsleitungsebene durchführen.
Frage 4
Bauen wir als Unternehmen eine gleichberechtigte, vielfältige und integrative Belegschaft auf, um unsere Herausforderungen im Bereich Cybersecurity zu bewältigen?
- Haben wir die richtigen Richtlinien, und funktionieren sie in der Praxis gut und sehen auf dem Papier gut aus?
- Sammeln wir die richtigen Daten und interpretieren sie richtig? Führen wir dann die richtigen Gespräche mit Personen in der gesamten Organisation, um diese Daten zu ergänzen und ein besseres Bild von weniger greifbaren Massnahmen zu erhalten?
- Machen wir aktive, sinnvolle Anstrengungen, um aus allen Gemeinschaften zu rekrutieren um die Gesellschaft, in der wir tätig sind, zu reflektieren?
- Verwenden wir eine Reihe von Rekrutierungsmethoden, um unbewusste Verzerrungen zu überwinden und sicherzustellen, dass wir die Stärken der Kandidaten umfassen herauszufinden?
- Sind wir zuversichtlich, dass wir Mitarbeiter einstellen und entwickeln, um den Herausforderungen unserer Organisation in Zukunft gerecht zu werden und nicht nur die Aufgaben von heute zu erfüllen?
- Schaffen wir das richtige Umfeld und die richtige Kultur, damit sich die Mitarbeiter sicher fühlen können, offen auf Probleme hinzuweisen?
https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/