Wir Sicherheitsexperten sind nicht für unseren Leichtsinn bekannt. Es stimmt, wir bekämpfen oft schwerwiegende Vorfälle mit potenziell tiefgreifenden Folgen für das Unternehmen und unsere Karriereaussichten. Aber unsere Beziehungen zu anderen sind in der Regel eher durch polizeiliche Maßnahmen und Durchsetzung als durch Engagement und Unterstützung gekennzeichnet.
Das muss sich ändern. Und das muss mit dem CISO beginnen.
Die Welt hat sich verändert
Warum mögen viele Mitarbeiter ihre Kollegen in der Cybersicherheitsfunktion nicht? Weil die erste und oft einzige Erfahrung im Umgang mit der Sicherheitsbehörde darin besteht, dass ihnen gesagt wird, dass sie etwas falsch machen und dass es zusätzliche Arbeit erfordert, das Problem zu lösen. Das ist nicht die Grundlage für eine produktive Arbeitsbeziehung.
Ein Teil des Problems ergibt sich aus der Tatsache, dass der Sicherheitsbereich dem Rest des Unternehmens weit hinterherhinkt. CISOs werden oft von Infrastruktur- und Netzwerkspezialisten angezogen, die ebenfalls weit vom Geschehen entfernt sind. Das macht die Sicherheit reaktiv und stärkt unseren Ruf als Polizeifunktion. Wenn CISOs diese Haltung einnehmen, neigen sie dazu, sich zu sehr auf die falschen Prozesse zu verlassen.
Die Wahrheit ist, dass moderne Unternehmen agil, funktions- und produktorientiert sind. Die Dinge geschehen schneller. Es gibt mehr beteiligte Gruppen, die intuitive Tools zur Unterstützung einer schnellen Entwicklung und Bereitstellung verwenden. Dies ist eine Welt, die nicht durch dieselben Prozesse kontrolliert wird, auf die sich die Sicherheit stützt.
Komm zur Party
Wie können CISOs diese Spannung auflösen? Erstens, indem sie anerkennen, dass sich diese Prozesse verändert haben, dass DevOps da ist und die IT-Welt um sie herum sich nun grundlegend verändert hat. Die Tage der monolithischen Projekte, die der Sicherheitsbehörde zur Genehmigung vorgelegt werden, sind gezählt. Die Projekte sind zahlreicher und fließender. Das erfordert von den Sicherheitsverantwortlichen eine stärkere Einbindung in die tägliche Arbeit der Teams bei der Entwicklung und Bereitstellung. In der Vergangenheit war die Liste der beruflichen Beziehungen des CISO im Unternehmen wahrscheinlich recht kurz, aber diese Beziehungen waren sehr eng. Die Art und Weise, wie die IT heute arbeitet, erfordert eine viel breitere Liste von Beziehungen zu Plattformteams und Ingenieuren für Standortzuverlässigkeit.
In diesen neuen Beziehungen müssen wir einen Beitrag leisten und dürfen nicht als Türsteher fungieren. Die Sicherheitsteams werden hart daran arbeiten, zu verstehen, wie die Sicherheit einen positiven Beitrag zu den Zielen des Unternehmens leisten kann, der über "Sicherheit und Schutz" hinausgeht. Sie werden die technischen Prozesse gut genug verstehen, um den richtigen Leuten zur richtigen Zeit die richtigen Tools zur Verfügung zu stellen. Sie werden eher zu internen Verkäufern oder Sicherheitsverfechtern als zu Auditoren.
Dies erfordert natürlich ein Umdenken, das für viele CISOs und ihre Teams eine große Herausforderung darstellt. Aber wir müssen uns ändern. Es geht darum, starke Beziehungen aufzubauen, die auf gegenseitigem Vertrauen beruhen, und mit einem Lächeln auf dem Gesicht zu erscheinen. Die Musik spielt, also hören Sie auf, in der Ecke zu stehen, und kommen Sie zur Party.
Dieser Blog wurde zuerst in The Register veröffentlicht.