CISO-Einblicke

Ihre ersten 100 Tage im Job als CISO [Eine kostenlose Checkliste]

7 min lesen - 19. September 2024

Das geschäftige Treiben in der Cybersicherheitsbranche bedeutet, dass jeder Tag, jede Woche, jedes Quartal usw. neue Herausforderungen mit sich bringt.

Die Rolle des CISO tritt aus dem Schatten hervor und nimmt eine zentrale Rolle in der Vorstandsetage ein, und das in einer Zeit, in der Führungskräfte ein allgemeines Gefühl der Instabilität verspüren. Steigende Cyber-Versicherungsprämien, Ransomware-Bedrohungen, Talentmangel und zunehmende Bedrohungsrisiken bedeuten, dass Cyber-Führungskräfte die Hitze zu spüren bekommen.

Wir sind in eine Zeit eingetreten, in der Cyber-Krise.

Deshalb ist diese Checkliste hier, um Sie in den ersten 100 Tagen auf dem CISO-Stuhl zu begleiten. Wir haben in diesem Leitfaden Tools, Tipps und Rahmenwerke für Sie zusammengestellt.

Phase 1: Bewertung und Aufbau von Beziehungen [Monat 1]
Phase 2: Strategieentwicklung und Quick Wins [Monat 2]
Phase 3: Kommunikation und Abheben [Monat 3]
Phase 4: Temperaturkontrolle und Neubewertung [Monat 4]

Wir hoffen, dass Sie diesen Leitfaden als Teil unserer Reihe CISO Insights nützlich finden werden. Den ersten Blog in dieser Reihe finden Sie hier.

Phase 1: Bewertung und Aufbau von Beziehungen

Die Überprüfung offener Server und ungeschützter Datenbanken ist ein wichtiger Bestandteil einer guten Überprüfung der Sicherheitslage.

Monat 1

Überprüfen Sie Ihre Sicherheitslage

Es ist an der Zeit, über Ihre Sicherheitslage nachzudenken und gründlich zu prüfen, wo Sie in Ihrer neuen Rolle stehen.

Um zu wissen, was Sie geerbt haben, sollten Sie sich die Zeit nehmen, eine gründliche Analyse Ihrer aktuellen Sicherheitsinfrastruktur, -richtlinien und -verfahren sowie eine Überprüfung der jüngsten Sicherheitsvorfälle und der Effektivität des Umgangs Ihres Vorgängers damit vorzunehmen.

Wenn es um die Einhaltung von Vorschriften geht, sollten Sie sich etwas Zeit nehmen, um sie zu überprüfen, zu überprüfen und noch einmal zu überprüfen, vor allem, wenn es um die Anbieter geht, mit denen Sie zusammenarbeiten. Erwägen Sie, ein internes Audit in Ihren Kalender aufzunehmen, um alle Compliance-Zertifizierungen zu überprüfen.

Zugang zu Ihren Beziehungen

"Du kannst alles im Leben haben, was du willst, wenn du nur genug anderen Menschen hilfst, das zu bekommen, was sie wollen."
Rod McDermott, Geschäftsführer von McDermott + Bull

Der Aufbau starker Beziehungen innerhalb Ihrer Organisation ist ein wichtiger Weg zum Erfolg, ebenso wie die Zusammenarbeit mit Vorstandsmitgliedern, Führungskräften, Abteilungsleitern und wichtigen externen Interessengruppen. Eine lange Liste von Treffen mit neuen Gesichtern ist ein wesentlicher Teil Ihrer anfänglichen Onboarding-Hausaufgaben. Sie müssen mit gutem Beispiel vorangehen und ein Umfeld schaffen, in dem Cybersicherheit nicht beängstigend, sondern für die Geschäftskontinuität unerlässlich ist.

Wenn es um Ihr Sicherheitsteam und den Aufbau von Beziehungen innerhalb der CIO-Abteilung geht, müssen Sie mit einer Cybersicherheitsstrategie und einem Cybersecurity-Programm an den Start gehen, das Vertrauen für die Herausforderungen und Chancen vor Ort schafft.

Die Verwaltung des Haushalts in Angriff nehmen

Der nächste Punkt auf Ihrer Aufgabenliste ist die Überprüfung des Budgets für Ihr gesamtes Cybersicherheitsprogramm. Dies ist eine der mühsamsten und ärgerlichsten Aufgaben auf Ihrer Liste, aber es gibt keine Risikobewertung ohne Budget, das Ihnen hilft, all diese Geschäftsziele zu erreichen.

Diese Aufgabe ist nicht ganz unproblematisch, da sie Unternehmensleiter wie den CFO und das Finanzteam im Allgemeinen in Bedrängnis bringt.

In den U.S.A, Daten zeigt, dass 12% der CISOs im Jahr 2024 einen Rückgang der Budgets erwarten, während die IT-Ausgaben für Sicherheit immer mehr steigen, von 8,6% der IT-Budgets im Jahr 2020 bis 13,2% im Jahr 2024.

Sie müssen schnell risikobehaftete Ressourcenlücken erkennen und für Bereiche plädieren, in denen Sie optimieren können. Sie werden auch eine Menge Zeit mit Führungskräften in verschiedenen Abteilungen benötigen, um Ihren Wünschen und Bedürfnissen näher zu kommen. Wir raten Ihnen, tief durchzuatmen und Ihre Bedürfnisse so genau wie möglich auf die Einhaltung von Vorschriften und Sicherheitsbedrohungen abzustimmen.

Wir fanden diesen Leitfaden von Forrester eine ausgezeichnete Quelle.

Die Mehrheit der Entscheidungsträger im Bereich Sicherheitstechnologie rechnet für 2025 mit weiteren Budgetsteigerungen. Erfahren Sie unter 3️⃣ mehr über die wichtigsten Bereiche, auf die sich CISOs im kommenden Jahr konzentrieren sollten, in dieser Vorschau auf unseren Budgetplanungsleitfaden 2025 für Sicherheitsverantwortliche. https://t.co/6o5E8DkR1w pic.twitter.com/l79U7Q6mJC
- Forrester (@forrester) 28. August 2024

Phase 2: Strategieentwicklung und Quick Wins

Monat 2

Im zweiten Monat geht es darum, Ihre neue Roadmap so zu beschleunigen, dass sich all diese Gesichter und die Lösung der Budgetbeschränkungen vertrauter anfühlen. Es ist keine leichte Aufgabe, einen Fahrplan zu entwickeln, der die wichtigsten Sicherheitsrisiken abdeckt (und gleichzeitig die Unternehmensziele unterstützt).

Im vergangenen Jahr haben Studien gezeigt, dass Unternehmen mit einer starken Datenverwaltung Zweimal höhere Wahrscheinlichkeit, Geschäftsziele zu übertreffen. Sie müssen kratzen und

CybelAngel 2024 State of the External Attack Surface Report — *Jetzt ist ein guter Zeitpunkt, um Überprüfung Rahmenbedingungen und eine Vielzahl von Anwendungsfällen der Informationstechnologie.*

Erstellen Sie einen Fahrplan für Ihre CISO-Cybersicherheit

Wie können Sie in Ihrer ersten Roadmap-Präsentation Risikomanagement, Initiativen mit geringem Aufwand, die sich in wirksame Verbesserungen umwandeln lassen, und die Sicherheitsrichtlinien rundum verbessern?

Das ist keine leichte Aufgabe.

Warum ist die Cybersicherheit ein solcher Investitionsblocker? Finden Sie es in den ersten 100 Tagen heraus. Quelle: Trend Micro.

Vor allem, wenn nach einer Trend Micro Studie,"90% der IT-Entscheidungsträger geben an, dass ihr Unternehmen bereit wäre, bei der Cybersicherheit Kompromisse einzugehen zu Gunsten der digitalen Transformation, der Produktivität oder anderer Ziele."

Unterschiedliche Einstellungen zu Cyber-Risiken bedeuten, dass das Ringen um Befürwortung und Budget, um aktuelle und künftige Schwachstellen zu umgehen, Ihren Aktionsradius stark beeinträchtigen kann.

Ein übersehener Punkt auf der Roadmap eines neuen CISO kann die Kommunikation von Kompromissen mit den Führungskräften sein, insbesondere wenn Sie Prozesse umstellen. Jede Umstellung des Fahrplans für eine Rolle kann zu kontraproduktiven Auseinandersetzungen führen, bei denen die IT-Sicherheit und die C-Suite-Führungskräfte unterschiedliche Prioritäten in den Vordergrund stellen wollen.

Die richtige Formulierung von Kompromissen ist entscheidend um Ihren Fahrplan einzuhalten, ohne die Leistungsfähigkeit Ihres Teams zu beeinträchtigen und die Wahrscheinlichkeit eines Burnouts innerhalb Ihres Teams zu erhöhen.

"Es gibt keine Lösungen, es gibt nur Kompromisse; man versucht, den bestmöglichen Kompromiss zu finden, das ist alles, was man sich erhoffen kann." - Thomas Sowell

Wenn es um die Festlegung von KPIs und Metriken geht, besteht die Gefahr, dass das gesamte Team durch schlechte Anweisungen des Chief Information Security Officers Schaden nimmt. Sie müssen bei der Auswahl der Daten davon ausgehen, wer der vorgesehene Empfänger ist, vom Vorstand bis zum Chief Information Officer. Jeder ist jedoch an klaren Berichten über Cyber-Bedrohungen interessiert, und CISOs mit weniger interner Unterstützung können sich dabei auf ihre Anbieter stützen. Wenn es um Reaktionen auf Vorfälle, Disaster Recovery und allgemeine Sicherheitsmaßnahmen geht

In unserem kommenden CISO Insights-Blog werden wir die CISO-KPIs, die im Jahr 2024 zählen, näher beleuchten. Schauen Sie sich die first Blog in dieser Reihe, "Wie man sich in Vorstandssitzungen bewegt: Eine Fibel für CISOs".

Phase 3: Kommunikation und Abheben

Monat 3

Starten Sie Ihre Sicherheitsinitiativen mit Elan

Monat drei sollte sich ein wenig anders anfühlen. Sie haben sich mit Stift und Papier hingesetzt und das Risikomanagement überprüft, einen Fahrplan für die Cybersicherheit erstellt, sich mit Ihrem CFO auseinandergesetzt (und hoffentlich gute Beziehungen aufgebaut) und mit dem Rest Ihres Teams gesprochen, was alles positiv ist.

Aber es ist immer noch die Zeit, in der Sie sich als neues Mitglied der Führungsetage beweisen müssen. Jetzt müssen Sie eine Führungsrolle übernehmen und beweisen, dass Handeln besser ist als Ängstlichkeit.

Eine neue Führungskraft im Bereich Sicherheit und Risikomanagement in einem führenden Öl- und Gasunternehmen benötigte Unterstützung beim Übergang in ihre neue Rolle.

Erfahren Sie, wie der Fahrplan unserer CISOs für die ersten 100 Tage den Ton für ihre Rolle in diesem Unternehmen angibt #ClientSuccessStory: https://t.co/61eU5cEzKf #GartnerSEC pic.twitter.com/5Ggo5Cbq8o
- Gartner (@Gartner_inc) April 21, 2023

Oben: Wie Gartner empfiehlt, die ersten 100 Tage in Ihrer neuen CISO-Rolle zu planen. Lesen Sie ihren Sonderbericht.

Kurz gesagt, müssen Sie die folgenden 3 Maßnahmen in Angriff nehmen:

1: Umsetzung Ihres strategischen Fahrplans: Es muss zeigen, dass Sie sich auf Sicherheitsabläufe, Geschäftsprozesse, Berichtsstrukturen, Bedrohungslandschaften, Schulungsprogramme, Datenschutz und die Vorbereitung auf Vorfälle konzentrieren. Ziel ist es, mit den bisher analysierten Daten und Ressourcen so gründlich wie möglich zu sein. Sie müssen sich so weit wie möglich auf die schnellen Erfolge konzentrieren, die eine große Wirkung haben.

2: Machen Sie bessere Kommunikation zu Ihrem Ziel: Sie können Ihre Position nicht sichern, ohne Ihre Kommunikation mit allen Beteiligten massiv zu verschärfen. Vom Vorstand bis zum Sicherheitsbeauftragten müssen Sie die Art und Weise, wie Sie Daten und Berichte weitergeben, anpassen. Entscheidend ist auch, wie Sie Informationen an alle Beteiligten weitergeben, wenn es zu Datenschutzverletzungen und Cyberangriffen kommt. Es wäre bedauerlich, wenn sich eine größere Krise ereignet, während Sie gerade erst die Führung übernehmen, also seien Sie darauf vorbereitet. Es liegt in der Verantwortung des CISO, gut zu kommunizieren und nicht nur Stress auf ein neues Team von Sicherheitsexperten auszustrahlen, die sich von Ihnen leiten lassen.

*Starke, aber verständliche Zahlen von* *Terranova Sicherheit*.

Wenn es um Ihren Vorstand geht, müssen Sie sich darauf konzentrieren, Ihre Sprache an grundlegende Datensicherheitsmetriken anzupassen, die verständlich sind. Egal, wie versiert und klug Sie in den Augen Ihres Teams sind, wenn Ihre Präsentation der Sicherheitsverletzungen doppeldeutig ist, werden Sie scheitern. Stützen Sie sich in dieser Zeit auf die Dashboards von Anbietern, während Sie Ihre eigene Analyse interner Metriken vorantreiben. Die vielschichtige Rolle eines CISO bedeutet, dass Sie jedes Detail für Ihr Publikum aufbereiten müssen.

3: Aufbau einer internen Sicherheitskultur: Es klingt selbstverständlich, aber die Arbeit beginnt jetzt, um Vertrauen zu gewinnen und jedes einzelne Mitglied Ihres Teams, alle Abteilungen, den Vorstand und nicht zuletzt Ihr Führungsteam zu informieren. PWC haben herausgefunden, dass 46% der Unternehmen festgestellt haben, dass die Zustimmung des CEO ein wichtiger Faktor für die Verbesserung der Cybersicherheitskultur am Arbeitsplatz ist.

Phase 4: Temperaturkontrolle und Neubewertung

Monat 4

Monat 4 fühlt sich an wie das Verlassen des Laufbands nach einer aggressiven Sprint-Einheit. Jetzt ist es an der Zeit, sich zu dehnen und zu bewerten (wirklich zu bewerten), wie Sie nach den ersten 3 Monaten abschneiden.

Sie können dies auf verschiedene Weise angehen:

Nehmen Sie sich Zeit, um Ihre Leistungsnachweise zu überprüfen: Was wurde eingesetzt, umgestaltet, gestrichen. Haben Sie die erhoffte Wirkung erzielt? Hat sich Ihr Team in einen neuen Rhythmus der kohärenten Produktivität eingefunden? Was ist schief gelaufen? Nehmen Sie sich Zeit für das Feedback Ihres Teams und nutzen Sie es, um es zu verbessern!
Betrachten Sie Ihre KPI-Ergebnisse: Überprüfen, überarbeiten und wiederholen Sie Ihre erfolgreichen Ergebnisse. Behalten Sie die Berichterstattung Ihres Anbieters genau im Auge und prüfen Sie, inwieweit diese für Ihre Bedürfnisse und Ihren Erfassungsbereich geeignet ist.
Die Zukunft vorausdenken: Inzwischen haben Sie Ihre Erkenntnisse gefestigt, und Sie selbst brauchen Zeit, um zu bewerten, zu lesen und auf die sich ergebenden Zeit- und Budgetbeschränkungen zu achten. Jetzt, wo Sie eine bessere Vorstellung von den operativen und zufälligen Ereignissen in Ihrer neuen Rolle haben, können Sie Ihre Berichterstattung und Ihre Routinen präzisieren.

Denken Sie daran, dass Sie sich an unser REACT-Team wenden können, wenn Sie in dieser Zeit Fachwissen zur Untersuchung von Bedrohungen benötigen.

Einpacken

Herzlichen Glückwunsch, dass Sie den ersten 100-Tage-Marathon hinter sich gebracht haben. Wir wünschen Ihnen viel Erfolg für den nächsten Sprint. Vielleicht denken Sie gerade darüber nach, wie Sie Ihren Fahrplan weiter ausbauen können, also schauen Sie sich unbedingt weitere fesselnde und hilfreiche Ressourcen auf unserer Website an Blog.

Über den Autor

Orlaith Traynor

Orlaith ist eine in Paris ansässige B2B-Content-Marketing-Strategin, die sich auf Cybersicherheit und Technologie spezialisiert hat und über fundierte Kenntnisse in SEO, AEO, Redaktionsplanung und CMS-Management verfügt. Als Content-Leiterin bei Unternehmen wie CybelAngel und PhantomBuster unterstützt sie Technologiemarken bei der Entwicklung von Content-Strategien, die die organische Sichtbarkeit und das Vertrauen der Käufer in wettbewerbsintensiven Märkten fördern.

lies alle Artikel

OTP-Bot-Angriffe im Finanzdienstleistungssektor: Das regulatorische Risiko, das die meisten Compliance-Teams noch nicht vollständig erfasst haben

Europol prognostiziert: ‘Kluft beim Cyberkriminalitäts-Tempo wird 2026 weiter wachsen’