Über Kommunikationsstrategien von Sicherheitsbeauftragten, CISOs und Co. inkl. Auszüge der Studie "Von der Abwehr in den Beichtstuhl - die qualitative Wirkungsanalyse von CISOs & Co.
Thats the way - aha aha - i like it: Über die Kommunikationsstrategien von CISOs
1. Wir schützen vertrauliche Informationen. That`stheway – aha aha – I likeitDer CISO in der Kommunikation und strategische Ansätze von Awareness Kampagnen Marcus Beyer, Architect Security Awareness, ISPIN AG
23. Die Sicht auf das Ganze Weiss jeder welches unsere Werte sind? Worauf können wir bei unserer U‘Kultur bauen? Wie entwickeln wir eine Sicherheits-Kultur? Können wir unsere Sicherheit messen?
25. Profile im Wandel „Denkansätze für den Aufgabenwandel“ WIK 96/7 Damals „ (..) Er strebt nun eine Tätigkeit im Unternehmensschutz eines international tätigen Unternehmens an.“ Heute: Dr. Axel Sitt Die comratio Technology & Consulting GmbH bietet Ihnen professionelle Beratungsdienstleistungen für die Funktionen Risikomanagement, Security Management, Frühwarnsystem, Krisenmanagement und Interne Revision.
26. Wer ist der CISO „Woher komme ich? Was bin ich? Wo gehe ich hin? Mehr noch: Auf welche Weise? Auf welchen Wegen?“ Beichtvater, Froschkönig oder Columbo?
31. Mal offensiv-divenhaft, dann wiederum zurückhaltend und versteckt. Die verschiedenen Haltungen führen keine Beziehung untereinander. Sie wirken wie getrennt = Psycho- Dynamik der Studie durch eine Tendenz zur Spaltung gekennzeichnet – einem Mal-so-mal-so.
32.
33. Befragten hatten Tätigkeit nicht auf ihrem Berufswunschzettel.»Ich hab Technische Informatik studiert (...) und mich dann durchgeschlängelt. Ich wollte ursprünglich nur programmieren.«
36. CISOs selber schwanken in der Wertschätzung ihrer eigenen Tätigkeit (wenig wertvoll). Tätigkeit verspricht ein Arbeiten mit Gestaltungsfreiheit & hat existentielle Funktion für das Unternehmen. »Zufriedenheit (schmunzelt) hat man selten, aber immerhin ... wenn man gute Arbeit macht, fällt man nicht auf.«
37. Die Wirklichkeit als CISO Reaktionen der Mitarbeiter CISOs werden als Vertreter einer anderen, einer unbekannten und unfassbaren Welt mit eigener Sprache und Ordnung betrachtet. »In meiner Freizeit gehe ich klettern und mach mit Kumpels Mountainbike- Touren. Das weiss keiner.«
38. Dinge, die Security-Manager tun, wenn sie nicht arbeiten Fussballspielen – Canyoning – Basketball spielen – Wandern auf Spuren des leuchtenden Pfads – Triathlon – An Radrennen teilnehmen – Biking – Mit Aktien spekulieren – Klettern + Bergsteigen – Rasen auf Autobahnen – Schwimmen + Tiefseetauchen – Vier oder mehr Kinder zeugen und grossziehen – Mit ihren Kindern herumturnen
48. Wer nicht spurt, wird ausgeschlossen.»Bei Fehlverhalten gibt es erst eine mündliche Mahnung. Manche sind resistent. Dann gibt es einen zweiten Hinweis. Wenn das nicht reicht, gibt es eine schriftliche Abmahnung.«
49.
50. Die Arbeitsabläufe, die Verbindung mit der Aussenwelt und vor allem die Mitarbeiter = Störung dieser Vision.
53. Wer nicht spurt, wird ausgeschlossen.»Bei Fehlverhalten gibt es erst eine mündliche Mahnung. Manche sind resistent. Dann gibt es einen zweiten Hinweis. Wenn das nicht reicht, gibt es eine schriftliche Abmahnung.«
56. In der zentralen Kontrollinstanz sind Züge einer Diva enthalten.
57. Menschlich-analoge Seiten werden konsequent abgespalten. Als (fiktive) Person spiegelt sich die Zentrale Kontrollinstanz am ehesten in Fräulein Rottenmeier (aus: »Heidi«) wider. »Wenn der CISO der beliebteste Mann im Unternehmen ist, stimmt etwas nicht.«
60. Sicherheit soll nicht belasten oder einschränken – vor allem nicht die Beziehung zwischen User und CISO (Service-Unternehmen)
61. CISO braucht Probleme und Störungen, weil er hierdurch als Sicherheits-Service agieren kann (Rolle des Helfers).
62. Er kann Mädchen für alles sein (wenig bis keine Kernkompetenz).»Ich komme mir vor wie ein Mann vom ADAC. Den holt man auch nur, wenn man am Strassenrand liegen geblieben ist.«
63.
64. Wenn etwas nicht läuft = Mann der Stunde. In der restlichen Zeit = eher ungesehenes Dasein.
65. Es gelingt ihm nicht, einen dauerhaften Eindruck zu hinterlassen.
66. Fürchtet um seine Existenz im Unternehmen (z.B. Bedrohung durch Externe). Als Person spiegelt sich der Sicherheits-Service am ehesten in Mutter Teresa wider. »Alles soll so weitergehen wie bisher. Ich habe ein gutes Verhältnis zu den Mitarbeitern. Die können mit Problemen zu mir kommen.«
73. Setzt – anders als die der Zentralen Kontrollinstanz und des Sicherheits-Services – nicht auf Spaltung, sondern auf ein Verzahnen der analogen und digitalen Perspektive. Als (fiktive) Person spiegelt sich der Streetworker am ehesten in Inspektor Columbo aus der gleichnamigen TV-Serie wider. »Mein Vorsatz ist: Vergiss nie, dass du auch mal da gesessen hast, wo die jetzt sitzen.«
78. Security und Risk Management entstehen über Kultur und prägen wiederum Kultur aus.
79.
80. Dies hat Konsequenzen für die Ausrichtung jeglicher Kommunikation, die Sicherheit zum Thema hat.
81. Risiken wie entsicherndes Verhalten von Mitarbeitern lassen sich nicht als isolierte, technisch begründete Phänomene verstehen, die es mit allen Mitteln zu beseitigen und verhindern gilt.
82.
83. Was man tun muss, damit der CEO den CISO mag Was erwartest Du? Was erwartet der CEO?Love it – changeit – leaveit Sags in den Worten, die er gern hört.Wirtschafliches Wachstum, Ego, Erfolg Sei Dir Deiner Strategie sicher, dass sie zum Geschäftserfolg beitragen wird. Be sure your strategy is craftedtosupportbusinessinnovation.
84. Gartner 2008 CEO Business Strategies Quelle: Gartner EXP Worldwide Survey of 1,500 CIOs Shows 85 Percent of CIOs Expect "Significant Change" Over Next Three Years
87. Öffnen Sie neue Wege, um einen höheren Umsatz innerhalb eines bestehenden Marktes zu generieren.
88. Seien Sie radikal und setzen Sie sich durch. Der Wettbewerbsdruck ist immens hoch.Quelle: Andreas Wuchner, Head IT Risk Management, Security & Compliance Novartis, December 2008
89.
90. Schauen Sie, das Sie die richtige Mannschaft mit dem notwendigen Know-how haben
107. Wir schützen vertrauliche Informationen. Security Awareness by ISPIN Kontakt: Marcus Beyer, marcus.beyer@ispin.ch, Twitter: @mbeyer Grindelstrasse 15, CH - 8303 Bassersdorf Tel. (geschäftl.): +41-44-8383111, Tel. (mobil): +41-79-3078133
Notes de l'éditeur
In der modernen Unternehmensführung sind Management-Systeme zur Entscheidungs-Unterstützung nicht mehr weg zu denken. Speziell Systeme aus den Bereichen Governance-, Risiko- und Compliancemanagement unterstützen in speziellem Maße die Unternehmensführung in deren Entscheidungen.
Die Herkunft der CISOs lässt sich als Digitaler Untergrund bezeichnen.Die Tätigkeit als CISO und damit das Abtauchen in den digitalen Untergrund führt teilweise zu einer Digitalisierung menschlich-paradoxer Verhaltens- und Erlebensweisen des CISOs.
CISO lebt in einer Spaltung. Sein Grundproblem ist nicht das Leben im digitalen Untergrund, sondern der Austausch mit der analogen Wirklichkeit.
In der Ausübung einer CISO-Tätigkeit sind z.T. unbewusste Strategien enthalten, die zu einer Lösung des Grundproblems der Security führen sollen.
Um die Strategien plastischer zu gestalten, werden sie in Form exemplarischer Typen erzählt. Sämtliche Typen existieren nicht in der dargestellten Reinform.
Business improvement:Do the same thing better, faster, and cheaperBusiness innovation:Create new and more valuable ways of interacting with customers, suppliers, andpartnersEnter or create new marketsOpen new streams of revenue within a marketDo the same thing in a radically improved way thatdramaticallychangescompetitivedynamics
Talk business value not technologyCheck if you have the right team (skills) for thatAlignyourstakeholdersCreate common Control Framework IT InControlAssess most important business processesIdentify critical Roles, Processes, IT AssetsUse collected to large extend (BCP, DRM, …)MapandreportrisksRealize all possiblebenefitsDelightyour C level