Das CISO-Compliance-Fähigkeiten-Dilemma
Gibt es einen allgemeinen Mangel an Personen mit den erforderlichen Fähigkeiten, um die Rolle des CISO zu übernehmen? Mit Technikfreaks, die sich nicht mit dem Vorstand auseinandersetzen können, und Managementtypen, die von den Technikfreaks nicht ernst genommen werden? Was ist mit den Fähigkeiten, die für Compliance und Regulierung benötigt werden? Sind sie auch Mangelware? Dan Raywood bewertet das Problem.
Das Problem des Qualifikationsdefizits wird seit langem diskutiert, insbesondere im Hinblick auf diejenigen, die geeignet sind, die Aufgaben des CISO zu übernehmen.
Neben dem Selbstvertrauen, vor dem Vorstand zu sprechen und ihm Bericht zu erstatten, gibt es Überlegungen dazu, ob der CISO technisch versiert sein und sich der Funktionsweise und Konfiguration der Abwehrmaßnahmen bewusst sein sollte, sowie darüber, ob er in der Lage sein sollte, das Sicherheitsbewusstsein zu verbreiten und zu verwalten Risiko in der gesamten Organisation.
Wenn sich das so anhört, als wäre das eine Menge Aufwand, sollten Sie das Compliance-Element in Betracht ziehen. Ja, Governance, Risiko und Compliance (GRC) sind die Eckpfeiler des Sicherheitsplans eines Unternehmens, aber inwieweit wird Compliance bei den Fähigkeiten des CISO berücksichtigt, und besteht ein neuer Fachkräftemangel bei Compliance-Frameworks und -Vorschriften für den zukünftigen CISO?
In Forschungsprojekte Ich habe 2019 für das Infosecurity Magazine moderiert und mich mit Studenten, Praktikanten und solchen, die ihre Karriere in der Cybersicherheit beginnen, beschäftigt. In diesem Fall fragte ich die von uns Befragten, ob sie wüssten, was DSGVO, PCI DSS und PSD2 waren und wie sie sich unterschieden. Wir haben 54 Antworten erhalten, davon 35 positiv und 19 negativ.
Diesen besonderen Vorschriften wurde viel Aufmerksamkeit geschenkt, und das Konzept von DSGVO sollte dem Durchschnittsmenschen auf der Straße nicht entgangen sein, aber ist es aus Sicht der Sicherheitsführung offensichtlich, was getan werden muss, um diese Lücke zu schließen, und gibt es eine Wissenslücke bei der Erfüllung von Compliance-Anforderungen?
Brian Honan, CEO von BH Consulting, glaubt, dass es einen Mangel an erfahrenen Leuten gibt, die als CISOs zur Verfügung stehen. Da Unternehmen unter Druck stehen, zu zeigen, dass sie „Sicherheit“ ernst nehmen, werden viele Personen in die Rolle des CISO berufen, die möglicherweise nicht dafür geeignet sind.
„Viele unerfahrene CISOs neigen dazu, sich auf die technischen Aspekte ihrer Funktion zu konzentrieren, da sie sich dort oft am wohlsten fühlen; Allerdings verfügen sie möglicherweise nicht über Erfahrung im Cyber-Risikomanagement, in der Entwicklung und Umsetzung von Richtlinien oder in der Entwicklung eines wirksamen Sensibilisierungsprogramms“, sagt er.
Ein weiteres Problem, mit dem CISOs oft zu kämpfen haben, besteht darin, das Compliance-Programm nur auf die Sicherheit oder die IT-Funktion innerhalb einer Organisation zu konzentrieren, behauptet Honan, denn „in vielen Fällen gilt ein Compliance-Programm für die gesamte Organisation und nicht nur für diese Funktionen.“
Um Compliance zu verstehen und umzusetzen, geht es nicht nur darum, sie in Ihr Sicherheitsteam und Ihre Verteidigungsebenen zu integrieren, sondern auch in die gesamte Organisation.
„Das andere Problem, das ich häufig bei regulatorischen Compliance-Anforderungen wie der DSGVO oder dem britischen Datenschutzgesetz sehe, ist, dass sich viele CISOs nur auf den Sicherheitsaspekt dieser Vorschriften konzentrieren, was dazu führt, dass das Unternehmen die Anforderungen nicht vollständig erfüllt“, sagt er.
Rowenna Fielding, Direktorin von Miss IG Geek Ltd, sagt aus ihren Gesprächen mit Kunden und anderen in der Sicherheitsbranche: „Ich kann definitiv sagen, dass es erhebliche Lücken in Bezug auf die DSGVO gibt.“ Insbesondere sagt sie: „Erschreckend wenige Sicherheitsleute haben ein solides Verständnis davon, was ‚personenbezogene Daten‘ eigentlich bedeutet (die meisten verwechseln es mit personenbezogenen Daten)“, was „jede DSGVO-Compliance-Aktivität, an der sie beteiligt sind, durch die Festlegung des Umfangs untergräbt.“ von vornherein zu eng.“
Auf die Frage, warum ihre Arbeitgeber nicht in effektive und sinnvolle Schulungen investieren, um Compliance-Anforderungen zu erfüllen, sagt Fielding, dass dies oft als zu teuer angesehen wird und „und die Muße und die Mittel zu haben, sich auf individueller Basis weiterzubilden, ist ein Luxus.“
Sie sagt, eine Herausforderung bestehe darin, dass es oft zu viel Produktmarketing gebe, das Zusicherungen zum Erreichen von Compliance verspreche, da „Compliance-Leute verzweifelt nach ‚Lösungen‘ (einschließlich Outsourcing) greifen, von denen sie hoffen, dass sie einen Teil der immensen kognitiven Belastung des Jobs verringern, aber diese „ „Lösungen selbst erfordern immer noch viel menschlichen Aufwand, um ihre Funktionen einzurichten, zu überwachen, zu überprüfen, anzupassen und aufrechtzuerhalten – zusätzlich zu all den neuen Risiken, die die Lösungen selbst mit sich bringen.“
Owanate Bestman ist der Gründer des Cybersicherheits-Personalressourcenunternehmens Bestman Solutions. Auf die Frage, ob seiner Meinung nach in diesem Bereich ein Fachkräftemangel bestehe, antwortete er, dass dies nicht der Fall sei, da oft zu viele Personalvermittlungsfirmen „auf der Suche nach Einhörnern sind, um sich den CISO-Titel anzueignen“. on“, wenn das Unternehmen tatsächlich jemanden sucht, der GRC übernimmt und mit den Aufsichtsbehörden zusammenarbeitet.
Wenn es an Personal mangelt, das benötigt wird, um die Anforderungen der Compliance- und Regulierungsrahmen zu erfüllen, muss das Risiko berücksichtigt werden, dass die Stellen unbesetzt bleiben. Besteht die Gefahr, dass die Verantwortung nicht übernommen wird, wenn jemand auf einer Führungsebene keine Verantwortung übernimmt?
Honan sagt, es gebe ein Problem damit, dass CISOs Frameworks, Standards und sogar gesetzliche Verpflichtungen als unnötigen Aufwand abtun, der sie nicht „sicherer“ mache, oder sogar das Argument anführt, dass „Richtlinien einen Hacker nicht aufhalten“.
„Was ihnen oft fehlt, ist, dass die in Gesetzen und Rahmenwerken dargelegten Anforderungen vorhanden sind, um einen strukturierten Sicherheitsansatz zu bieten und das Engagement der Unternehmen für mehr Sicherheit sicherzustellen“, sagt er. „Ein guter CISO wird verstehen, wie Frameworks, Standards und rechtliche Verpflichtungen dazu beitragen können, das Risiko für das Unternehmen zu reduzieren und ihm gleichzeitig die Ressourcen zur Verfügung zu stellen, die er benötigt, um die Organisationen besser zu schützen.“
Es gibt Möglichkeiten, herauszufinden, was erforderlich ist, um Compliance in einer Organisation zu ermöglichen, aber die präventiven Elemente sind eher Kosten und Zeit als ein völliger Mangel an Fähigkeiten. „Ich glaube nicht, dass es da draußen an Fähigkeiten mangelt, aber das Verhältnis zwischen verfügbarer Gehirnleistung und Aufgabenbedarf ist auf jeden Fall unüberschaubar.“ Fielding stimmt dem zu und sagt, dass die Menschen über alles verfügen, was sie zur Compliance benötigen, außer der Zeit und Energie, sie effektiv anzuwenden.