10 Tipps für CISOs, wie sich Fachleute ans Unternehmen binden lassen

Der Spezialisten-Mangel in der Cybersicherheit ist nichts Neues. In vielen Security-Operations-Centers fehlen geeignete Fachleute mit entsprechendem Know-how. Leider führt diese zu erhöhtem Druck auf die restlichen Mitarbeiter und deren Vorgesetzte, die mehr und mehr Arbeitspensum zu erfüllen haben. Viele Entscheidungen erfordern Fingerspitzengefühl und können nicht aus dem Bauch heraus getroffen werden, sie erfordern tiefgreifendes Fachwissen und im Zweifel auch eine Technologiefolgenabschätzung.

Der Grund für die Arbeitslast ist zum einen die Digitalisierung zum anderem der Faktor Mensch. Denn Betroffene haben nicht nur oft mehr Arbeit zu erledigen, als sie auf einen langen Zeitraum verkraften können, sondern sie haben oft nicht die Chance, Arbeit und Freizeit anständig zu balancieren. Die Folge sind eine schlechtere Arbeitshaltung und im schlimmsten Fall auch mehr Fehler oder Unachtsamkeit. Dieses Mehr an Fehlern führt in der Konsequenz dann zu steigenden Fehlalarmen oder unsächgemäßem Umgang mit sich anbahnenden Risikoherden.

Viele CISOs sind der Ansicht, dass es wichtig ist, ein gutes Vorbild zu sein und auch auf die gesunde Balance aufmerksam zu machen. Auch bei Kritik sollte darauf geachtet werden, dass diese eher positiv verpackt wird und es sollte auch nicht an Lob gespart werden. Denn dies wirkt sich meist sehr positiv auf die Firmenkultur aus und sorgt für höhere Produktivität und bessere Ergebnisse.

Analysten von Gartner nehmen an, dass bis zum Jahr 2025 fast die Hälfte der Führungskräfte in der IT-Sicherheit den Arbeitsplatz wechseln wird. Sie rechnen sogar damit, dass ein Viertel wegen Überbelastung, Stress und Burnout ihre Position aufgeben werden. In diesem Zusammenhang kommen die Marktanalysten zum Schluss, dass im Jahr 2025 über die Hälfte aller Zwischenfälle in der IT-Security mit dem so noch angeheizteren Fachkräftemangel in Verbindung stehen wird.

Aus diesem Grund sollten CISOs die folgenden zehn Tipps beherzigen, um ihr Fachpersonal im Unternehmen zu halten und ihre eigene Arbeit zu verbessern:

  1. CISOs und andere IT-Sicherheitsverantwortliche müssen eng mit ihren Angestellten zusammenarbeiten und feststellen, welche Tools funktionieren. Sie müssen außerdem herausfinden, ob Arbeitszeit mit ineffektiven Aufgaben verschwendet wird und hier stattdessen auf Automatisierungstools setzen.
  2. Die Führungsebene der Organisationen muss über alle Sicherheitsprojekte und -risiken informiert sein und umgekehrt muss die Sicherheitsabteilung stets Geschäftsinitiativen unterstützen. Der enge Schulterschluss mit dem „Business“ ist hier unerlässlich.
  3. Das Budget muss den Risiken angemessen gestaltet sein und es mitunter die Aufgabe des CISO den Vorstand resp. die Unternehmensführung frühzeitig ins Boot zu holen. Denn ist dies nicht der Fall, müssen sich die IT-Entscheider unnachgiebig für eine Anpassung einsetzen, was sich möglicherweise zu einem Kampf gegen Windmühlen auswachsen kann, Stichtwort Sicherheitskultur.
  4. Mitarbeiter müssen in die Erstellung der Planung der Sicherheitsabteilung einbezogen werden.
  5. Bei Planspielen und Übungen muss die Führungsebene aktiv involviert werden und der Lerneffekt muss nachhaltig sein.
  6. CISOs und andere IT-Sicherheitsverantwortliche müssen dafür sorgen, dass ihre Mitarbeiter im Urlaub nicht von der Arbeit belästigt werden, sondern abschalten können. Geeignete Notfallpläne helfen hier dabei die Vertreterregelung zu manifestieren.
  7. Schulungsprogramme und die Zertifizierung von Fachkräften sollten stets verbessert werden – geschulte Angestellte arbeiten viel besser als ungeschulte und zeichnen sich im Allgemeinen durch eine positive Grundeinstellung der eigenen Rolle gegenüber aus.
  8. Dem Fall angemessene Belohnungen für Mitarbeiter, die Sicherheitslücken erkennen und melden.
  9. CISOs und andere IT-Sicherheitsverantwortliche sollten die Angestellten mit Grundwissen identifizieren und dies dokumentieren lassen. Danach sollten die anderen Mitarbeiter an Schulungen teilnehmen und jene Angestellte mehrere Wochen Urlaub nehmen können, damit keine kritische Abhängigkeit von einer oder wenigen Personen entsteht. Außerdem sollte in der Personalplanung, idealerweise bereits zu tätigenden Neueinstellungen, ein Nachfolgeplan ins Leben gerufen werden, falls doch Fachkräfte das Unternehmen verlassen oder aber in Rente gehen. Dies gilt auch für den CISO selbst.
  10. Es lohnt sich, an der beruflichen Entwicklung jedes Mitarbeiters zu arbeiten: Die Personalabteilung und Berater können bei der Erstellung des LinkedIn-Profils helfen, es gibt Updates auf einschlägigen Bewertungsseiten wie Kununu oder Glassdoor, und von den Top-Arbeitgebern kann man sich gute Elemente des Personalwesens abschauen.

Fazit                                                                                                                                                                                      

Marco Eggerling, CISO EMEA bei Check Point Software

Der Faktor Mensch wird in vielen Betrieben oft ganz außer Acht gelassen, oder nicht genug ernst genommen. Da dies meist negative Auswirkungen auf das Arbeitsverhalten der Angestellten hat, empfiehlt es sich mit gutem Vorbild voranzugehen und dafür zu sorgen, auf gesundem Weg, die Produktivität und Effektivität zu steigern.

Von Marco Eggerling, CISO EMEA bei Check Point Software Technologies