Über Kommunikationsstrategien von Sicherheitsbeauftragten, CISOs und Co. inkl. Auszüge der Studie "Von der Abwehr in den Beichtstuhl - die qualitative Wirkungsanalyse von CISOs & Co.

1. Wir schützen vertrauliche Informationen. That`stheway – aha aha – I likeitDer CISO in der Kommunikation und strategische Ansätze von Awareness Kampagnen Marcus Beyer, Architect Security Awareness, ISPIN AG

3. Ein Käfig voller Narren

4. Der Froschkönig

5. HowtobeLiked?

7. O-Töne von Awareness-Gruppenmitgliedern eines populären Social Media-Netzwerkes

8. O-Töne von Awareness-Gruppenmitgliedern eines populären Social Media-Netzwerkes

9. O-Töne von Awareness-Gruppenmitgliedern eines populären Social Media-Netzwerkes

11. Aufbau und Betrieb einer Organisationseinheit zur Umsetzung der Sicherheitsziele

12. Ausarbeitung, Anpassung von Sicherheitsvorschriften

13. Auditierung der Funktionseinheiten zum Stand der Umsetzung und Weiterentwicklung der Sicherheitsvorschriften

14. Bewusstsein der Mitarbeiter durch Trainings und Kampagnen schaffen

17. Sicherheitschef

18. Technischer Crack

19. Projektleiter

20. Teamleader

21. Betriebswirt

22. Compliance-Manager… und gut drauf sein!

23. Die Sicht auf das Ganze Weiss jeder welches unsere Werte sind? Worauf können wir bei unserer U‘Kultur bauen? Wie entwickeln wir eine Sicherheits-Kultur? Können wir unsere Sicherheit messen?

24. Das Thema Sicherheit im Wandel

25. Profile im Wandel „Denkansätze für den Aufgabenwandel“ WIK 96/7 Damals „ (..) Er strebt nun eine Tätigkeit im Unternehmensschutz eines international tätigen Unternehmens an.“ Heute: Dr. Axel Sitt Die comratio Technology & Consulting GmbH bietet Ihnen professionelle Beratungsdienstleistungen für die Funktionen Risikomanagement, Security Management, Frühwarnsystem, Krisenmanagement und Interne Revision.

26. Wer ist der CISO „Woher komme ich? Was bin ich? Wo gehe ich hin? Mehr noch: Auf welche Weise? Auf welchen Wegen?“ Beichtvater, Froschkönig oder Columbo?

30. Mal reger Austausch, dann wie vor verschlossenen Türen.

31. Mal offensiv-divenhaft, dann wiederum zurückhaltend und versteckt. Die verschiedenen Haltungen führen keine Beziehung untereinander. Sie wirken wie getrennt = Psycho- Dynamik der Studie durch eine Tendenz zur Spaltung gekennzeichnet – einem Mal-so-mal-so.

33. Befragten hatten Tätigkeit nicht auf ihrem Berufswunschzettel.»Ich hab Technische Informatik studiert (...) und mich dann durchgeschlängelt. Ich wollte ursprünglich nur programmieren.«

35. Andererseits: Eindruck, dass es darum geht, diesen Bereich reibungslos zu besetzen.

36. CISOs selber schwanken in der Wertschätzung ihrer eigenen Tätigkeit (wenig wertvoll). Tätigkeit verspricht ein Arbeiten mit Gestaltungsfreiheit & hat existentielle Funktion für das Unternehmen. »Zufriedenheit (schmunzelt) hat man selten, aber immerhin ... wenn man gute Arbeit macht, fällt man nicht auf.«

37. Die Wirklichkeit als CISO Reaktionen der Mitarbeiter CISOs werden als Vertreter einer anderen, einer unbekannten und unfassbaren Welt mit eigener Sprache und Ordnung betrachtet. »In meiner Freizeit gehe ich klettern und mach mit Kumpels Mountainbike- Touren. Das weiss keiner.«

38. Dinge, die Security-Manager tun, wenn sie nicht arbeiten Fussballspielen – Canyoning – Basketball spielen – Wandern auf Spuren des leuchtenden Pfads – Triathlon – An Radrennen teilnehmen – Biking – Mit Aktien spekulieren – Klettern + Bergsteigen – Rasen auf Autobahnen – Schwimmen + Tiefseetauchen – Vier oder mehr Kinder zeugen und grossziehen – Mit ihren Kindern herumturnen

39. Die gefährlichsten Sportarten laut US-Magazin Forbes(2008) Fussball – Eishockey – Basketball – Radsport – Fallschirmspringen – Qaudbiking – Stabhochsprung – Cheerleading – Schwimmen + Tauchen – Football – Ringen + Turnen

40. Die Wirklichkeit als CISO

41. Die Wirklichkeit als CISO

43. Welche Wirkungen löst die jeweilige Strategie im Unternehmen aus?

45. Die Arbeitsabläufe, die Verbindung mit der Aussenwelt und vor allem die Mitarbeiter = Störung dieser Vision.

46. Wunschvorstellung: Sicherheit wird durch Technik (ggfs. zzgl. Organisation) hergestellt (Unersetzbarkeit und Macht).

47. Sicherheitskultur wird nicht vermittelt, sondern erzwungen.

48. Wer nicht spurt, wird ausgeschlossen.»Bei Fehlverhalten gibt es erst eine mündliche Mahnung. Manche sind resistent. Dann gibt es einen zweiten Hinweis. Wenn das nicht reicht, gibt es eine schriftliche Abmahnung.«

50. Die Arbeitsabläufe, die Verbindung mit der Aussenwelt und vor allem die Mitarbeiter = Störung dieser Vision.

51. Wunschvorstellung: Sicherheit wird durch Technik (ggfs. zzgl. Organisation) hergestellt (Unersetzbarkeit und Macht).

52. Sicherheitskultur wird nicht vermittelt, sondern erzwungen.

53. Wer nicht spurt, wird ausgeschlossen.»Bei Fehlverhalten gibt es erst eine mündliche Mahnung. Manche sind resistent. Dann gibt es einen zweiten Hinweis. Wenn das nicht reicht, gibt es eine schriftliche Abmahnung.«

55. Dadurch kommt es immer wieder zu entsicherndem Umgang.

56. In der zentralen Kontrollinstanz sind Züge einer Diva enthalten.

57. Menschlich-analoge Seiten werden konsequent abgespalten. Als (fiktive) Person spiegelt sich die Zentrale Kontrollinstanz am ehesten in Fräulein Rottenmeier (aus: »Heidi«) wider. »Wenn der CISO der beliebteste Mann im Unternehmen ist, stimmt etwas nicht.«

59. Wohlwollen der Mitarbeiter sehr wichtig. Er will gemocht werden.

60. Sicherheit soll nicht belasten oder einschränken – vor allem nicht die Beziehung zwischen User und CISO (Service-Unternehmen)

61. CISO braucht Probleme und Störungen, weil er hierdurch als Sicherheits-Service agieren kann (Rolle des Helfers).

62. Er kann Mädchen für alles sein (wenig bis keine Kernkompetenz).»Ich komme mir vor wie ein Mann vom ADAC. Den holt man auch nur, wenn man am Strassenrand liegen geblieben ist.«

64. Wenn etwas nicht läuft = Mann der Stunde. In der restlichen Zeit = eher ungesehenes Dasein.

65. Es gelingt ihm nicht, einen dauerhaften Eindruck zu hinterlassen.

66. Fürchtet um seine Existenz im Unternehmen (z.B. Bedrohung durch Externe). Als Person spiegelt sich der Sicherheits-Service am ehesten in Mutter Teresa wider. »Alles soll so weitergehen wie bisher. Ich habe ein gutes Verhältnis zu den Mitarbeitern. Die können mit Problemen zu mir kommen.«

68. Strategie: Beweglichkeit und ein Interesse am interdisziplinären Austausch.

69. Interessen der Sicherheit wie auch die der Mitarbeiter werden in einen Austausch gebracht.

70. Führung mit Sinnstiftung durch das Einrichten einer Sicherheitskultur.

71. Bei wechselseitiger Integration will keine 100 %ige Sicherheit erreicht werden.

73. Setzt – anders als die der Zentralen Kontrollinstanz und des Sicherheits-Services – nicht auf Spaltung, sondern auf ein Verzahnen der analogen und digitalen Perspektive. Als (fiktive) Person spiegelt sich der Streetworker am ehesten in Inspektor Columbo aus der gleichnamigen TV-Serie wider. »Mein Vorsatz ist: Vergiss nie, dass du auch mal da gesessen hast, wo die jetzt sitzen.«

74. Fazit CISO-Studie

78. Security und Risk Management entstehen über Kultur und prägen wiederum Kultur aus.

80. Dies hat Konsequenzen für die Ausrichtung jeglicher Kommunikation, die Sicherheit zum Thema hat.

81. Risiken wie entsicherndes Verhalten von Mitarbeitern lassen sich nicht als isolierte, technisch begründete Phänomene verstehen, die es mit allen Mitteln zu beseitigen und verhindern gilt.

83. Was man tun muss, damit der CEO den CISO mag Was erwartest Du? Was erwartet der CEO?Love it – changeit – leaveit Sags in den Worten, die er gern hört.Wirtschafliches Wachstum, Ego, Erfolg Sei Dir Deiner Strategie sicher, dass sie zum Geschäftserfolg beitragen wird. Be sure your strategy is craftedtosupportbusinessinnovation.

84. Gartner 2008 CEO Business Strategies Quelle: Gartner EXP Worldwide Survey of 1,500 CIOs Shows 85 Percent of CIOs Expect "Significant Change" Over Next Three Years

86. Bezwingen und kreierenSieIhrenMarkt. SchaffenSieauchneueMärkte.

87. Öffnen Sie neue Wege, um einen höheren Umsatz innerhalb eines bestehenden Marktes zu generieren.

88. Seien Sie radikal und setzen Sie sich durch. Der Wettbewerbsdruck ist immens hoch.Quelle: Andreas Wuchner, Head IT Risk Management, Security & Compliance Novartis, December 2008

90. Schauen Sie, das Sie die richtige Mannschaft mit dem notwendigen Know-how haben

91. Sei Unternehmer im Unternehmen

92. Schaffen Sie sich Kontrollmechanismen

93. Bewerten Sie wichtige Geschäftsprozesse

94. Identifizieren Sie kritische Rollen, Prozesse, IT-Assets

95. Dokumentieren und berichten Sie kontinuierlich über mögliche Risiken

96. Nutzen Sie alle guten Chancen und posituven Vorteile

97. Machen Sie Ihr C-Level happyQuelle: Andreas Wuchner, Head IT Risk Management, Security & Compliance Novartis, December 2008

99. Authentizität schafft Emotionalität

100. Lebenswelten und Benefits statt Betroffenheit und Angst

101. Positive Kommunikation statt „Erhobener Zeigefinger“

102. These: Think local – act „glocal“ (Lokalisierung)

103. Medieneinsatz muss „State-of-the-art“ sein

104. Weniger ist manchmal mehr

105. Experimente wagen - Anders sein als Andere

106. Erfolge kommunizieren!Kundenprojekte sprechen eine deutliche Sprache:

107. Wir schützen vertrauliche Informationen. Security Awareness by ISPIN Kontakt: Marcus Beyer, marcus.beyer@ispin.ch, Twitter: @mbeyer Grindelstrasse 15, CH - 8303 Bassersdorf Tel. (geschäftl.): +41-44-8383111, Tel. (mobil): +41-79-3078133