CISOs und emotionale Intelligenz

Paul Baird, CTSO von Qualys

Um auf Sicherheitsvorfälle schnell und effektiv reagieren zu können, müssen sich CISOs nicht nur auf die  technischen Ressourcen zur Bekämpfung von Cyberbedrohungen verlassen können, sondern vor allem auf die involvierten Mitarbeiter. Paul Baird, CTSO UK bei Qualys, erläutert im Interview auf welche Soft-Skills CISOs bei sich und ihren Mitarbeiter Wert gelegt werden sollte.

 

Wird den CISOs jetzt klar, dass sie ihre Soft-Skills verbessern müssen, um erfolgreich zu sein?

Paul Baird: Ich war auf beiden Seiten tätig, sowohl als Sicherheitsanalytiker als auch als Führungskraft, und deshalb liegt mir dieses Thema sehr am Herzen. Die wichtigste Lektion, die ich gelernt habe, ist die, dass man die Menschen im Team nicht nur als Beschäftigte behandeln darf, als Werkzeuge zur Ausführung einer Aufgabe. Man muss Menschen als Freunde behandeln, und das bedeutet, dass man herausfinden muss, wie sie ticken und wie sie Entscheidungen treffen.

Warum ist das wichtig? Weil Sie bei den Entscheidungen, die getroffen werden, wenn nachts um drei ein potenzielles Sicherheitsrisiko erkannt wird, darauf vertrauen müssen, dass Ihre Mitarbeiter auf Grundlage der verfügbaren Informationen richtig handeln. Es ist eine Sache, für die nötigen Strukturen und Technologien zu sorgen, aber noch wichtiger ist es zu verstehen, wie die Mitarbeiter im Rahmen dieser Prozesse handeln werden.

Als CISO können Sie heute nicht mehr im Elfenbeinturm sitzen. Sie dürfen nicht nur das große Ganze im Blick haben. Vielmehr müssen Sie in die Schützengräben steigen und schauen, wie die Dinge auf der betrieblichen Ebene funktionieren. Das erfordert Engagement – und ja, auch emotionale Intelligenz.

 

Tun sich CISOs oft schwer, emotionale Intelligenz zu definieren und dann in der Praxis anzuwenden?

Paul Baird: Eines der Probleme ist die Art und Weise, wie CISOs befördert werden und in Führungspositionen aufsteigen. Wenn jemand gute Leistungen erbringt und befördert wird, ändern sich seine beruflichen Aufgaben, in manchen Fällen erheblich. Diese neuen Aufgaben können beträchtlich mehr Verantwortung mit sich bringen und ein wesentlich höheres Maß an sozialer Kompetenz erfordern. Diese Kompetenzen sind aber oft nicht die, wegen derer solche Leute ursprünglich befördert wurden. Sie müssen sie also erst erlernen, und manche lernen sie, andere nicht. Gerade die erfolgreichsten Sicherheitsmitarbeiter sind nicht selten introvertiert und möchten sich eigentlich auf ihre spezifischen Aufgaben konzentrieren. Doch dann werden sie in Positionen versetzt, die ein eher extrovertiertes Verhalten erfordern und bei denen sie mit einem ganzen Team arbeiten müssen.

Da heißt es dann oft: Entweder schwimmen oder untergehen. Der beste Weg ist, mit Kollegen zu sprechen, denen es gelungen ist, ein erfolgreiches Team aufzubauen und zu halten, und von ihnen zu lernen, wie sie mit ihren Mitarbeitern umgehen. Dann sollten Sie diese Fähigkeiten auf Ihren eigenen Stil übertragen, mit dem Sie sich wohl fühlen. Man muss nicht extrovertiert sein, um Erfolg zu haben. Doch man muss sich bewusst werden, dass Geschick im Umgang mit den Mitarbeitern eine notwendige Kompetenz ist, die man entwickeln muss.

 

Wie hängen emotionale Intelligenz und Sicherheit zusammen?

Paul Baird: Wenn Sie die Leute verstehen, wenn es Ihnen leichtfällt, auf sie zuzugehen und mit ihnen über ihre Motivationen und Bedürfnisse zu sprechen, können Sie viel leichter eine Schippe drauflegen und die Teams voranbringen. Oft geht es einfach nur darum, Interesse zu zeigen und festzustellen, wie die Leute ticken. Auf dieser Basis können Sie ihnen dann helfen, bessere Entscheidungen zu treffen.

Wenn Sie sich einmal den umgekehrten Fall vor Augen führen – jemand behandelt andere als Rädchen in einer Maschine, die Ergebnisse ausspucken soll –, wird leicht klar, wie es passieren kann, dass Mitarbeiter bald die Lust verlieren und dann entweder keine gute Leistung mehr bringen oder kündigen. Laut ISC2 sind heute weltweit rund drei Millionen Stellen im Sicherheitsbereich unbesetzt – fähige Leute kommen also schnell woanders unter. Deshalb ist es wichtig, sich zu bemühen, kompetente Mitarbeiter zu halten. Und emotionale Intelligenz ist ein bedeutender Aspekt der Mitarbeiterentwicklung und -bindung.

 

Kann ein hohes Maß an emotionaler Intelligenz (wozu Selbstbewusstsein, Selbstmanagement und Beziehungsmanagement gehören können) CISOs erfolgreicher machen?

Paul Baird: Ich würde sagen, dass emotionale Intelligenz eine wesentliche Erfolgsvoraussetzung für einen CISO ist. Wenn sie fehlt, wird es langfristig schwer werden, wirksame Sicherheitsprogramme auf die Beine zu stellen.

Das fängt schon damit an, dass man wissen muss, wie die Sicherheitsanalytiker an ihre Aufgaben herangehen und wie sie das Beste aus ihren Fähigkeiten machen können. In diesem Zusammenhang ist derzeit viel von Automatisierung die Rede, doch das ist nicht der einzige Schritt, der notwendig ist. Man muss sich auch fragen, wie arbeiten die Leute, worüber denken sie bei diesen Prozessen nach und wie fühlen sie sich dabei?

Das liegt daran, dass künstliche Intelligenz zwar 90 % der potenziellen Probleme abfangen kann, der Rest aber von Menschen überwacht werden muss. Wenn Sie wissen, wie Sie die Produktivität Ihrer Mitarbeiter steigern können, kann ihnen das in den Situationen helfen, in denen interessante Daten vorliegen und sie entscheiden müssen, wie sie untersucht werden sollen. Die Zeit, die Sie aufwenden, um die Beziehungen zu Ihren Mitarbeitern zu entwickeln und ihnen das Gefühl zu geben, dass sie bei ihrer Arbeit unterstützt werden, ist gut investiert.

 

Untersuchungen zeigen, dass 50 % der Sicherheitsvorfälle nicht gemeldet werden. Lassen sich diese besorgniserregenden Zahlen verringern, wenn CISOs über mehr emotionale Intelligenz verfügen und im ganzen Unternehmen zum Tragen bringen?

Paul Baird: Die Frage ist hier, warum diese Vorfälle nicht gemeldet werden. Haben die Mitarbeiter Angst, sich an die IT-Abteilung zu wenden, wenn sie glauben, dass sie einen Fehler gemacht haben? Droht ihnen eine strenge Abmahnung oder gar die Kündigung? Oder ist die IT nicht sonderlich ansprechbar?

CISOs sollten eine Kultur schaffen, in der es begrüßt wird, wenn sich Mitarbeiter bei potenziellen Problemen melden, und in der anerkannt wird, dass Mitarbeiter Fehler machen können. Eine einzige Phishing-E-Mail oder ein Viren-Download sollte niemals ausreichen können, um alle vorhandenen Sicherheitsmaßnahmen auszuhebeln. Ein Defense-in-Depth-Ansatz kann oft verhindern, dass solche Vorfälle zu gravierenden Problemen werden.

 

Legen die CISOs heute mehr Wert darauf, gute Sicherheitsumgebungen aufzubauen (vor allem für Remote-Mitarbeiter), statt nur das physische Netzwerk zu warten, das ihr Unternehmen eingerichtet hat?

Paul Baird: Die Pandemie hat viele Leute gezwungen, ihre Herangehensweise an die IT zu überdenken. Ein Kunde von uns hat binnen einer Woche von einem Homeoffice-Test mit einigen hundert Mitarbeitern auf Fernarbeit für Zehntausende von Beschäftigten in der Produktion hochskaliert. Eine solche Umstellung ist ein gewaltiges Unterfangen. Cloudbasierte Sicherheitsmaßnahmen unterstützen sie aus technologischer Sicht, doch auch bei den Prozessen und der Arbeitsweise der Mitarbeiter führt sie zu Veränderungen.

Sicherheit muss heute allgegenwärtig sein. Es gibt keine Mauer mehr, hinter der man sich verstecken kann und in Sicherheit ist. Man muss vorausschauender denken, und das betrifft die Menschen und die Technologien gleichermaßen.

 

Ist Sicherheit wirklich eine Frage der Menschen und nicht der Technologien? Wenn CISOs über hohe emotionale Intelligenz verfügen, führt das dann zu sichereren Netzwerken und weniger Sicherheitsverstößen?

Paul Baird: Sie können noch so viel Spam- und Phishing-Schutz einrichten – es werden trotzdem Bedrohungen durchkommen, und Menschen können immer noch Links anklicken. Man muss einsehen, dass Menschen einfach manchmal Fehler machen. Wenn Sie von dieser Prämisse ausgehen, können Sie Ihre Sicherheitsvorkehrungen so definieren, dass einzelne Fehler hoffentlich keine massiven Folgen haben. Früher lautete die Botschaft, dass die IT-Sicherheit immer richtig liegen muss, ein Hacker dagegen nur ein einziges Mal – auch diese Vorstellung muss sich ändern.

 

Was ist für die Position des CISOs noch wichtig?

Paul Baird: Ich halte es für wichtig, sich auch andere Positionen im Leitungsgremium anzusehen, etwa die des CFO oder COO. Diese Rollen sind sowohl operativ als auch strategisch ausgerichtet. Wenn diese Führungskräfte bei der Zusammenarbeit mit ihren Teams emotionale Intelligenz an den Tag legen, macht das die Sache auch für den CISO einfacher.

Der CISO muss in engem Austausch mit den anderen Mitgliedern der Chefetage stehen und auch wissen, wie die Belastungen und Arbeitsumgebungen der operativen Teams aussehen. Führungsgremien mögen manchmal schwarzweiß denken, aber das wirkliche Leben ist nicht so. Stattdessen müssen die CISOs die Prioritäten der Firmenleitung an das breitere Unternehmen vermitteln und umgekehrt dafür sorgen, dass die Firmenleitung die Auswirkungen ihrer langfristigen Entscheidungen versteht.

#Qualys