Plötzlich CISO? Die Tage 30 bis 60 in der neuen Position

Im ersten Teil meiner Serie habe Ich einige hilfreiche Tipps für die ersten 30 Tage als CISO bei einem neuen Unternehmen geteilt. Wenn Ihr zweiter Monat als CISO anbricht, ist die Zeit gekommen, erste eigene Akzente zu setzen. Nutzen Sie also die in den ersten 30 Tagen gesammelten Informationen, um einen Plan zur praktischen Umsetzung kurz-, mittel- und langfristiger Verbesserungen zu formulieren.
Von   Andreas Schneider   |  Field CISO EMEA   |  Lacework
19. Februar 2024

60-Tage-Checkliste: Strategieentwicklung und -anpassung

Loten Sie die Spielräume für Automatisierung und Konsolidierung Ihrer Security-Prozesse aus

Keine Frage: Budgets sind immer knapp bemessen. Doch viele CISOs bezahlen für Tools, die mehrfach vorhanden oder nicht adäquat eingerichtet sind, sodass ihr Potenzial nur zum Teil ausgeschöpft wird. Vor allem aber gibt es wahrscheinlich auch in Ihrem Unternehmen manuelle Prozesse, für die zusätzliche Mitarbeiter eingestellt wurden. Hier bietet sich Ihnen die Möglichkeit zur Implementierung von Automatisierungslösungen und modernen Tools, die die Gewinnung datengestützter Erkenntnisse erleichtern: Investieren Sie in Software, die die Fehlalarmquote durch die automatische Priorisierung eingehender Warnmeldungen und Abgleiche mit Bedrohungsdaten minimiert, Daten mit Kontextinformationen anreichert, Code und Containerimages vor der Bereitstellung automatisch prüft und so weiter.

Mit anderen Worten: Nicht jedes neue Problem erfordert eine Aufstockung Ihres Security-Teams. Fragen Sie sich in diesen Fällen zunächst, ob es vielleicht eine bessere Lösung gibt, die nicht auf dem wenig skalierbaren menschlichen Urteilsvermögen basiert.

Patchen, patchen, patchen

Die meisten CISOs erben bei ihrem Amtsantritt eine Vielzahl ungepatchter Ressourcen. Begegnen Sie dieser Herausforderung, indem Sie zum einen die fälligen Softwareupdates einspielen, zum anderen die Begleiterscheinungen der Aktualisierung minimieren. Hier gilt bekanntermaßen die Faustregel: Je mehr Zeit seit dem letzten Patch vergangen ist, desto wahrscheinlicher sind Ausfälle. Zur Sicherheit sollten Sie die anderen Vorstandsmitglieder im Vorfeld über mögliche Störungen informieren.

Bringen Sie Ihre Vision und Strategie zu Papier

Erstellen Sie einen langfristigen Plan

Dieser muss nicht perfekt sein, sondern soll Ihnen und Ihrem Team als Grundlage für die Erstellung einer langfristigen Strategie für das gesamte Unternehmen dienen.

Stellen Sie geeignete Kennzahlen zur Berichterstellung für den Vorstand zusammen

Hierfür gibt es keine allgemeingültigen Vorgaben, wenn man einmal davon absieht, dass die von Ihnen gewählten Metriken in Bezug auf die Geschäftsergebnisse aussagekräftig sein sollten. Fangen Sie also einfach irgendwo an und orientieren Sie sich dann am Feedback.

Investieren Sie in Schulung und Weiterbildung Ihres Security-Teams

Empfehlenswerte Trainingsschwerpunkte sind Cloud-Security und DevOps, weil die Beschäftigung mit diesen Themen nicht nur Ihrem Unternehmen zugutekommt, sondern auch der beruflichen Weiterbildung Ihrer Mitarbeiter förderlich ist. Nutzen Sie also die kostenlosen Angebote der großen Cloud-Anbieter (AWS Cloud, Google Cloud und Azure) sowie die Kurse auf GitHub und anderen Plattformen, um Ihrem Team den Erwerb neuer Kompetenzen zu ermöglichen.

Erstellen Sie Runbooks und Playbooks für den Ernstfall

Die so implementierten Prozesse sollten dann in regelmäßigen Abständen (mindestens vierteljährlich) unter Realbedingungen getestet werden.

Tipps von CISOs für CISOs:

„Nach dem Ende Ihrer Probezeit sollten Sie unbedingt Ihre Vision, Mission und Zielsetzungen in klarer Form darlegen – und zwar sowohl für Ihr Team als auch für das Unternehmen insgesamt. Konzipieren Sie Ihre Vision dabei nicht als statisches Framework, sondern als Absichtserklärung, die Ihre Teams motiviert und Ihnen die Unterstützung wichtiger Stakeholder für die Umsetzung Ihrer Strategie sichert. Zu diesem Zweck sollten Sie zunächst die Endziele festlegen und davon ausgehend alle weiteren Details ausarbeiten. Zeichnen Sie ein scharf konturiertes Bild des anvisierten Reifegrads und nutzen Sie dieses als Kontrastfolie für eine kritische Bewertung des Ist-Zustands. Wenn Sie wissen, wo Sie derzeit stehen und worauf Sie hinarbeiten, gestaltet sich die Festlegung der erforderlichen Zwischenschritte sehr viel einfacher.“

— George Y. Al-Koura, Chief Information Security Officer, Ruby Life Ltd.

Setzen Sie Vorlagen ein, um bei Bedarf schnell neue Umgebungen erstellen zu können

Erleichtern Sie die Rückkehr zu einem bekannten stabilen Zustand

Wenn Ihr Unternehmen Cloud-Lösungen verwendet (was mittlerweile eigentlich unerlässlich ist!), sollten Sie diesen Vorteil nutzen, um vielseitig anwendbare Identitäten und Umgebungen einzurichten, unveränderliche Back-ups anzulegen und ein Image zu erstellen. Mit diesen Vorlagen können Sie jederzeit zu einem stabilen Zustand zurückkehren, neue Umgebungen einrichten, Organisationsstrukturen in Kontoverwaltungsdiensten replizieren und Berechtigungen übertragen. Zugleich ist es empfehlenswert, die Zahl „maßgeschneiderter“ Instanzen zu minimieren, da standardisierte Umgebungen Ihrem Team die Überwachung der Mitarbeiteraktivitäten erleichtern. Nutzen Sie also fixe Back-ups und Redundanzen in Form von bewährten AMIs, geklonten Datenbanken und manipulationssicheren WORM-Speichern.

Formulieren Sie verbindliche Vorgaben zur Lebensdauer von Back-ups

Das bedeutet insbesondere, dass Sie in Absprache mit der Rechtsabteilung entscheiden müssen, wie lange Daten aufbewahrt werden sollen (da hier sowohl gesetzliche Vorgaben als auch geschäftliche Anforderungen zu beachten sind). Außerdem sollten Sie die Zustimmung Ihres CEO und anderer Stakeholder einholen, damit sichergestellt ist, dass alle wichtigen Entscheidungsträger und -trägerinnen mit Ihrer Linie einverstanden sind. Dadurch sparen Sie nicht nur Ausgaben für überschüssige Ressourcen, sondern vermeiden auch die versehentliche Offenlegung von nicht mehr benötigten Daten.

Nutzen Sie Canary-Releases als Versuchsballons für geplante Innovationen

Aus dem Erfolg (oder Scheitern) entsprechender Tests lässt sich ersehen, ob neue Kontrollen ihren vorgesehenen Zweck tatsächlich erfüllen. Außerdem haben Sie in der Cloud die Möglichkeit, Berechtigungen vor dem Inkrafttreten zu prüfen und die Erreichbarkeit neuer Netzwerke ganz ohne Übertragung von Datenpaketen zu ermitteln. Erstellen Sie einen AppSec-Prozess, der auf Codeprüfungstools basiert und Ihnen die Entscheidung über Architekturen und andere Designaspekte erleichtert. Hier bietet es sich ganz offensichtlich an, moderne Lösungen für das Management der Cloud-Security zu nutzen.

Am Ende Ihrer ersten 60 Tage haben Sie optimisierte Abläufe und konkrete Pläne erstellt. Nun können Sie einen Blick auf die Zukunft werfen: Im dritten Teil meiner Serie teile Ich darum einige Tipps, mit denen Sie in den Tagen 60 bis 90 einen Fokus auf langfristige Entwicklung setzen können.

Andy Schneider begann seine Karriere im Bereich der IT-Sicherheit bereits im Jahr 2000 bei einer Deutschen Landesbank. In den letzten 10 Jahren hatte er verschiedene CISO-Positionen inne. Er ist derzeit als Field CISO EMEA für Lacework tätig und arbeitet zusätzlich als Berater für TX Ventures und verschiedene Security-Start-ups.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

46315

share

Artikel teilen

Top Artikel

Ähnliche Artikel