Die Einstellung eines CISO ist wie die Einstellung des obersten Generals einer Armee kurz vor einem Krieg.
Einige Generäle gehen als die größten militärischen Führer aller Zeiten in die Geschichte ein, da sie ihre Armeen von Sieg zu Sieg führen und jeden Angreifer in den Schatten stellen.
Andere verursachen einen Verlust nach dem anderen.
In diesem Artikel gehen wir auf die wichtigsten Faktoren für die Einstellung eines CISO ein – ob Teilzeit, Vollzeit, virtuell oder als Dienstleistung.
Letztendlich sollten Sie auf ihre Fähigkeit zur Ausführung, ihre bisherigen Leistungen, ihre bisherigen Siege und Erfolge achten. Aber lassen Sie ihre Verluste nicht außer Acht – es ist wichtig, wie sie sich von ihnen erholen.
Klären Sie Ihre Anforderungen
Was sind Ihre Sicherheitsbedürfnisse? Hat Ihr Unternehmen in der Vergangenheit seine Verteidigung von Jahr zu Jahr verbessert, oder ist dies das erste Mal, dass Sie sich mit diesem Thema befassen?
Wenn die Antwort Letzteres ist, haben Sie keine Erfahrung in der Zusammenarbeit mit Sicherheitsexperten und wissen nicht, wie Sie die besten von ihnen auswählen können. Nutzen Sie diesen Artikel als Leitfaden.
Ihre wichtigsten Anforderungen sollten sich um Ihren Tech-Stack drehen, oder anders gesagt, um die Art und Weise, wie Ihr Unternehmen aus IT-Sicht funktioniert.
Wenn sich Ihre Server alle in Ihrem eigenen Rechenzentrum oder in Ihren Geschäftsräumen befinden, brauchen Sie jemanden mit dieser Erfahrung.
Wenn Ihr technisches Team Ihr Unternehmen vollständig in der Cloud aufgebaut hat und Sie sich auf eine serverlose Architektur verlassen, benötigen Sie jemanden mit ganz anderen Fähigkeiten.
Lassen Sie den CTO nicht Ihren CISO auswählen
Ihr CTO kann ein wichtiger Stakeholder im Entscheidungsprozess zur Einstellung eines CISO sein, sollte aber nicht derjenige sein, der die Einstellungsentscheidung trifft oder dem Ihr CISO unterstellt ist.
CISOs sollten dem CEO unterstellt sein, nicht dem CTO. Wenn Sie den CISO Ihrem CTO oder Ihrem technischen Direktor unterstellen, wie auch immer der Titel lauten mag, haben Sie keinen CISO, sondern nur einen technischen Experten, der die Anweisungen Ihres IT-Teams befolgt.
Es gibt einen inhärenten Konflikt zwischen IT und Sicherheit, und dieser Konflikt muss kontrolliert und aufrechterhalten werden. Sie dürfen nicht zulassen, dass die IT-Abteilung die Sicherheit kontrolliert, denn dann verschwindet der Konflikt und alle Sicherheitsentscheidungen basieren auf den Wünschen Ihres IT-Teams und nicht darauf, was sicherer ist oder das Beste für das Unternehmen darstellt.