Sie können nicht sagen, wir haten Sie nicht gewarn…
Foto: Anton Vierietin | shutterstock.com
CISOs e outros gerentes da Bereich IT-Sicherheit arbeiten im Regelfall hart daran, ihr Unternehmen – und Karriere – abzusichern. Allerdings reicht eine kleine Unaufmerksamkeit, eine Fehlannahme ou auch ein falscher Ratschlag, um sämtlich Bemühungen im Handumdrehen zunichtezumachen.
If Sie damit planen, Ihren Job zu behelten, sollten Sie folgenden neun Dinge undterlassen.
1. Sich selbst überschätzen
Selbstüberschätzung kann in einen empflichken Karriereknick münden. Em particular, quando você é mais forte, dass (Sicherheits-)Lösungen eingesetzt werden, die zwar unter umstände populär sind, sich aber noch nicht gegenset haben. Steve Tcherchian, CISO do Security-Softwareanbieter Xypro Technology Corporation, disse o Szenario weiter: “Esta arte de 'Ansatz' schafft Sicherheitslücken, erhöht das Risiko für menschliches Versagen und führt zueinem schafft Sicherheitslücken ch zu einem katastrophalen Sicherheitsvorfall komt.”
Ein übermäßig ausgeprägtes Selbstvertrauen cann auch dazu führen, dass IT-Sicherheitsentscheider – und ihre Teams – in Selbstgefälligkeit abdriften, como o Xypro-CISO avisa: “Wennnigeinder Ezögi, Ugenver -Prozesse etabiert zu haben, sinkt ihre samkeit, die Schutzmaßnahmen veralten nach und nach – und die Anfälligkeit für neue Threatungen steigt.”
2. Förderen complexo
CISOs, as tendências tecnológicas, descanso –hypes vereinnahmen lassen, statt sich auf die essentlich Aufgaben ihrer Rolle zu fokussieren, müssen ebenfalls damit rechnen, karrieretechnisch zu entgleisen. Richard Watson, líder global de consultoria em segurança cibernética da Unternehmensberatung EY, disse que segue este exemplo: “Im Ergebnis werden zährlich Technologien angeschafft, die unnötige Komplexität einführen und capaz vom Wesennken. Die Komplexität wiederum verursacht weitere Kosten während Integrationen neue Sicherheitslücken aufwerfen, die Angreifer zu ihrem Vorteil ausnutzen können.”
Erschwerend komme laut dem EY-Chefberater hinzu, dass auch Komplexität ein falsches Sicherheitsgefühl vermiteln könne – finalmente gingen Unternehmen davon aus, von den neuesten technologische Innovationhemtzen Innovationen des Innovationen des Innovationen Innovationen davon aus.
3. GRC vernachlässigen
A opção mais importante, Security-Karriere zu verkürzen: Einen Cybersecurity-Stack ohne formelles GRC-Programm (Governança, Risco e Conformidade) ou die Beine stellen. Scott Hawk, CISO do Netzwerkserviceanbieter Velaspan, erklärt übersätt mais detalhado, disse: “Dieser Fehler tem potencial de verheerende Wirkung, também pode ser diversificado Unternehmensaspekt betreffen kann. Ohne solides GRC-Programm ist es wesentlich wareschenlicher dass zu viel Für Technologie ausgegeben wird, ein falsches Gefühl der Sicherheit entscht, Critical Security-Komponenten übersehen werden en Gefühl der Sicherheit
Todo o gerenciamento impfiehlt também Hawk em uma estrutura GRC como o COBIT. Das stelle sicher, dass Risikomanagement, Compliance-Anforderungen and Governance in the Gesamtstrategie des Unternehmens integriert werden werden: “GRC wird Cybersecurity unternehmensweit zum Gesprächsthema machen. Das verstärts dabei, Prioritien zu setzen und Akzeptanz zu fördern. Mit GRC wird Cybersicherheit zum Business Enabler”, weiß der Sicherheitsentscheider.
4. Para alinhar verfehlen
Der größte Bock, den Sicherheitsprofis schießen können, ist weder technischer noch financier Natur. Richard Caralli, consultor sênior de segurança cibernética em PlattatformanBieter, verrrät, foi Für ciso-Karrieren Sech, “Cyberseelle Bedronnen:” Cyberseelle Bedronnen: “Cyberseelle Bedronnen:” Cyberseelle Bedronnen , ist der größte fehler , den IT-Sicherheitsentscheider begehen können. Der Schutz dessen, für die Lebensfähigkeit des Unternehmens essenziell ist, sollte über Prioritien und Investments im Bereich Cybersicherheit determine.”
Laut Caralli foi uma barra de apoio para os CISOs, uma iniciativa de segurança cibernética para o bem-estar, o sucesso e o sucesso dos subordinados. Se o alinhamento for sentido, prophezeiht der Berater unschöne Konsequenten: “Es besteht die Gefahr, dass Investments falsch gerichten, Ressourcen unzureichend genutzt und allgemein schlechte Cybersecurity-Ergezielbnisse werden.”
5. Dicas de controle de acesso
“Den Wald vor lauter Bäumen nicht sehen” também está no campo de segurança cibernética. Etwa, se o CISO tiver um grande tempo de uso, seus backdoors no sistema serão gerenciados – eles também serão implementados no tema de controle de acesso. Nitin Sonawane, especialista em identidade da Zilla Security, escreveu um relatório sobre um único cenário: “Identidade digital é uma das principais configurações do sistema. Se você não for apreendido ou configurado incorretamente, é o potencial verheerend – espeziels überprivilegierte Identitéten stellen im Falle eines Angriffs ein erhöhtes Risiko dar.”
Wie der Sicherheitsexperte bemängelt, versäumten es Unternehmen oft, die Zugriffsberechtigungen ehemaliger Mitarbeiter und Partner angemessen zu management. Das mais zu verwaisten Accounts, die von Threatungsakteuren ausgenutzt werden konnten. Die effektivste Form des Identity Managements, de Sonawane überütt, führe über künstliche Intelligenz: “Die meisten Unterhalten heute HR-Applikationen, die as Source of Truth für das Business-Profilent van Nutzers die. Findet eine Versetzung statt, entscheidet in der Regel der neue Vorgesetzte des Benutzers, welche Berechtigungen dieser – auf Grundlage des Business-Kontexts – noch nevitt und welche nicht. Dabei pode apoiar KI.
O que você acha interessante de uma experiência de segurança de tema de TI? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, diretamente para sua caixa de entrada.
Jetzt CSO-Newsletter atualizado
6. Fator Mensch ignorado
Bekanntermassen traz IT-Sicherheitsentscheider (auch karrieretechnisch) nicht weiter, ihr Augenmerk auf technische Lösungen und Prozesse zu legen. Dan Lohrmann, CISO de campo no Presídio de TI, disse que sogar ao grande Fehler e: “Der Mensch ist immer noch die größte aller Schwachstellen. Sicherheitsexperten, die diesen Fakt unterschätzen ou außer Acht lassen, werden deshalb sceitern.”
Speziel die Tendenz der Mitarbeiter, Kontrollmaßnahmen, estabeleceu Diretrizes sowie Prozesse zu umgehen, könne zu einer ganzen Reihe von Insider-Bedrohungen führen, então Lohrmann – der diesbezüglich schon mitbett “ t, die zuordnungen Cybersecurity-Initiativen sabotiert haben, indem sie schlicht untätig Bem, Dissonanzen innerhalb des Teams gesät haben ou unnötige Riskeingegangen sind. Dabei sollten Sie im Hinterkopf behalten, dass sich Menschen im Laufe der Zeit auch veränderen können: Einige einst zustände Mitarbeiter könnten belo von Burnout ou widriger Lebensumstände ihren Fokusver. Das kann potenzien ebenso großen Schaden anrichten wie ungeschulte ou böswillige Benutzer.”
Als Abhilfemaßnahmen recomendou o Field CISO na primeira linha, o recrutador-meßnahmen zu optimieren und dabei auf ausgiebige Izbon Amaseke für neue Mitarbeiter zu setzen. Das konne seiner Meinung nach einen starken Beitrag dazu leisten, das interne Sicherheitsniveau zu stärken. Ergänzend acrescenta Lohrmann: “Die Fähigkeit, Hinweise auf einen möglichen Burnout zu erkennen, ist diesbezüglich ebenso wichtig.”
7. Datenballast zulassen
Veraltete Datansätze, die in Cloud-Speichern versauern, sind möglichkeit nicht und und gesichtlich sichtbar und deshalb auch schnell esquecido – können aber jederzeit als CISO-Karrierekiller “de volta”.
Rich Vibert, CEO da Data-Security-Anbieters Metomic, macht deutlich, wo das Problem liegt: “Solche Daten bergen konferliche Gefahren, die von Sicherheitslücken bis hin zu Compliance-Problemen reichen. Das zuzulassen ist ein besonders dumber, weil übersätt vermeidbarer Fehler. Veraltete Datensätze enthalten möglichkeitsensitive Informationen, was gefährlich werden kann, wenn sie in the falschen Hände geraten und die Zugangskontrollen nicht sälligtig aufgesetzt sind.”
Dürüm hinaus könnten veraltetete Daten Cybercriminelle auch mit wertvollen historischen Informationen ausstatten, die sich wiederum für zielgerichtete(re) Social-Engineering-Attacken verwenden ließen, so Vibert.
8. Em Silos verharren
Entfällt eine einfälligkeit Communication mit Stakeholdern aus nicht-technischen Bereichen, kann das nicht nur Misverständnisse, Misstrauen e Verwirrung hervorrufen: Betroffene CISOs därften é auch deutlich,Bush itsht be Security.
Jeff Orr, Diretor da Ventana Research, rät IT-Sicherheitsentscheidern deshalb dazu, ou Business-Terminologie zu setzen, wenn es darum geht, über kritische Security-Probleme and Business Impact ou Business Impact: “The -Business-Terminologie zu setzen, wenn es darum geht, über kritische Security-Probleme and Business Impact ou Business Impact: in Verbindung trouxe – und sorgen Sie auch im Rahmen von Reportings für Klaheit.”
9. Selbstgefällig agerien
O fornecedor com o maior potencial de risco de risco CISO é uma questão, portanto, tudo o que estava sob controle. Howard Taylor, CISO de Sicherheitsanbieter Radware, kennt Kandidaten, die solchen Annahmen erliegen – und weiß, wie ihre Karriere im Regelfall endet: “Solche Führungskräfte vertrauen vor allem darauf, durch Massensen vor darauf, durch Massentzine vor darauf, durch Massentzine vor darauf. Depois de seus Unternehmen einen massivos Datendebstahl durchlebt hat, eles deixaram Worte dann 'Wir haben unser PCI DSS Zertifikat in der Tasche'.”
Dieser Beitrag é baseado em um Artikel unserer US-Schwesterpublikation CSO Online.
