Die Cybersicherheit umfasst ein breites Spektrum an Fachgebieten und Arbeitsaufgaben. Es kann nicht erwartet werden, dass eine einzige Ausbildung alle spezialisierten Fähigkeiten und branchenspezifischen Kenntnisse abdeckt, die von jedem Arbeitgeber gewünscht werden. Dennoch gibt es bestimmte Soft Skills oder „menschliche Fähigkeiten“, die für jeden neuen Mitarbeiter in einer Cybersicherheitsfunktion wichtig sind, unabhängig von dem Bereich, in dem er tätig ist.
Soft Skills beziehen sich auf Charaktereigenschaften und zwischenmenschliche Fähigkeiten, die Einfluss darauf haben, wie gut ein Mitarbeiter mit anderen zusammenarbeiten kann, einschliesslich Führungskräften, Mitarbeitern und Anbietern. Wir haben 7 Cybersicherheitsexperten nach ihrer Meinung zu den verschiedenen Soft Skills gefragt, die man beherrschen muss, um ein erfolgreicher Cybersicherheitsexperte zu werden. Einige dieser Soft Skills sind von Natur aus leicht zu erwerben, andere kann man sich selbst aneignen. Lesen Sie weiter, um ihre Erkenntnisse zu erfahren.
Monika Geitlinger (Beauftragte für Informationssicherheit bei Raiffeisen Schweiz)
Vielfältige Kommunikationsfähigkeiten: Für Informationssicherheitspersonal ist die Fähigkeit, das Thema auf verschiedenen Ebenen in einem Unternehmen zu diskutieren, unerlässlich, damit Sie die Bedürfnisse auf jeder Unternehmens-/Hierarchieebene kommunizieren können.
Flexibilität und Kompromissbereitschaft: Ihr Ziel sollte es immer sein, den Mitarbeitern zu ermöglichen, ihre Arbeit sicherer und effizienter zu erledigen, ohne die Daten und die Sicherheit Ihres Unternehmens zu gefährden. Wenn das bedeutet, dass Sie einige Ihrer Pläne ändern müssen, um sie besser an die Bedürfnisse des Unternehmens anzupassen, sollten Sie ein gewisses Maß an Flexibilität zulassen, um sowohl das Ziel als auch die Einhaltung Ihrer Richtlinien zu erreichen.
Engagieren Sie sich bei Ihren Kollegen: Je engagierter Sie sind, desto mehr Menschen werden bereit sein, mit Ihnen zusammenzuarbeiten, um ihr Sicherheitsverhalten zu verbessern! Aber genauso wichtig ist, dass sie sich eher für das Thema engagieren und eine emotionale Bindung zu Ihnen und dem Thema Sicherheit aufbauen, wenn Sie sie in Sicherheitsfragen schulen und ihnen helfen.
Colin Hardy (Spezialist für Malware)
Kommunikations- und Beziehungsfähigkeiten waren für mich von entscheidender Bedeutung, um in der Branche voranzukommen, und zwar sowohl in leitenden als auch in nichtleitenden Positionen. Werfen wir einen Blick auf beides.
Kommunikation: Ich hatte in der Branche schnell Erfolg, weil ich in der Lage war, komplexe Themen in sinnvolle, mundgerechte Details zu gliedern und dabei eine risikobasierte Sichtweise einzunehmen. Oft werden Unternehmen mit superkomplexen Angriffsszenarien angegriffen (z. B. SolarWinds), aber die Führungskräfte konzentrieren sich eher auf das Sicherheitsrisiko und die potenziellen Auswirkungen auf das operative Geschäft als auf die damit verbundenen Kosten. Wenn Sie die technische Komplexität eines Angriffsszenarios verstehen und in eine Sprache übersetzen, mit der leitende Angestellte vertraut sind, stellen Sie sicher, dass Sie in der Lage sind, dem Unternehmen einen Mehrwert zu bieten. Wenn Sie das nächste Mal versuchen, etwas Komplexes zu erklären (sogar Ihren Kollegen), versuchen Sie es in einem Tweet zu schreiben!
In Führungspositionen habe ich festgestellt, dass Kommunikation für die Motivation, Unterstützung und Entwicklung eines Teams von entscheidender Bedeutung ist, insbesondere im Zeitalter von COVID, da immer mehr Teams aus der Ferne arbeiten und Beruf und Privatleben miteinander vereinbaren. Wie, wie oft und zu welchem Zweck man kommuniziert, war für mich persönlich eine Entdeckungsreise, aber ich habe die Ergebnisse genossen – ich hatte Besprechungen in virtueller Realität, Teambesprechungen bei Wind und Regen, herzliche 121er und virtuelle All-Hands-Besprechungen, bei denen wir in der Lage waren, eine betriebliche Strategie für die Sicherheitsreife festzulegen.
Auch die Fähigkeit, hochrangige Strategien von der C-Suite-Führungsebene bis hin zum technischen Publikum zu übersetzen, ist eine Fähigkeit, die ich ständig weiterentwickle, um sicherzustellen, dass die Teams die Unternehmensstrategie wirklich verstehen und jeder Einzelne eine wichtige Rolle auf diesem Weg spielen kann.
Beziehungen: Der Aufbau von Beziehungen sowohl innerhalb eines kleinen Teams als auch innerhalb des gesamten Unternehmens ist der Schlüssel zum Verständnis der Beziehung zwischen Sicherheit und der allgemeinen Unternehmensstrategie. Oftmals kostet der Betrieb eines Sicherheitsteams das Unternehmen einfach nur Geld. Daher ist es wichtig, die verschiedenen Prioritäten des Unternehmens zu verstehen und zu wissen, wie die Sicherheit am besten mit der Vielzahl von Tools, Technologien und Prozessen eines typischen Unternehmens verknüpft werden kann.
Im Hinblick auf die persönliche Entwicklung habe ich festgestellt, dass der Schlüssel zum Aufbau einer erfolgreichen Beziehung zu Mentoren und Kollegen darin liegt, sich auf den Aufbau der eigenen Glaubwürdigkeit zu konzentrieren, wodurch man dem Gespräch einen Mehrwert verleihen kann. Mentoring ist großartig, aber oft ist das Gespräch einseitig; der Mentor liefert großartige Erkenntnisse, und der Mentee konsumiert alle Informationen. Für mich hat es sich bewährt, mich darauf zu konzentrieren, auch dem Mentor einen Mehrwert zu bieten, indem ich Ideen und andere Denkweisen mit ihm teile und so dazu beitrage, eine dauerhafte Beziehung aufzubauen, die das berufliche Wachstum weiter fördert.
Ivan Rivic (CISO bei DataStore)
Es gibt viele Fähigkeiten, die man braucht, um ein respektvoller Fachmann zu sein. Positive Energie, die Möglichkeit, seine Kollegen zu motivieren, Pünktlichkeit, die Fähigkeit, seine Kollegen herauszufordern, Präsentationsfähigkeiten und vieles mehr.
Dennoch möchte ich darauf hinweisen, dass Gelassenheit bei der täglichen Arbeit und vor allem in angespannten Situationen, wie bei Sicherheitsvorfällen, eine der wichtigsten Fähigkeiten ist, die Cyber-Sicherheitsexperten haben können. Darüber hinaus wird Vertrauenswürdigkeit („Sie können sich auf mich verlassen“) sehr geschätzt. Da es sich bei der Cybersicherheit um ein komplexes und hochdynamisches Gebiet handelt, wäre die Fähigkeit, einen umfassenden Überblick zu haben und die wichtigsten Punkte herauszustellen, ebenfalls eine meiner Favoriten.
Marcel Prisi (Security Expert bei Kudelski IoT Security)
Für mich ist die wichtigste Soft Skill eines jeden Sicherheitsspezialisten, einen offenen, neugierigen und kreativen Geist zu bewahren. Die Personen auf der anderen Seite des Zauns sind unglaublich einfallsreich und bereit, unbegrenzt viel Zeit und in einigen Fällen auch erhebliche Geldbeträge in ein einziges Ziel zu investieren. Sie kennen die Sicherheitswerkzeuge, die wir verwenden, daher müssen wir kreativ sein und die „Extrameile“ gehen, um überhaupt eine Chance zu haben, einigen dieser Angriffe standzuhalten.
Fred Streefland (CEO bei Secior)
Gute Frage. Ich denke, dass mehrere Soft Skills für einen Sicherheitsfachmann unverzichtbar sind, wobei Kommunikationsfähigkeiten die wichtigste sind. Der Sicherheitsfachmann (CISO) muss mit dem Vorstand, dem IT-Manager, dem Justiziar, den Entwicklern, dem HR-Direktor und allen anderen Mitarbeitern in der Organisation kommunizieren.
Um eine Organisation zu sichern, sollte der Sicherheitsfachmann von allen verstanden und unterstützt werden. Um diese Unterstützung zu erhalten, benötigt der Sicherheitsfachmann ausgezeichnete Kommunikationsfähigkeiten, um alle in ihrer eigenen „Sprache“ (Geschäftssprache, IT-Sprache, Entwicklersprache usw.) zu informieren, damit sie sich der Cybersicherheit bewusst sind und entsprechend handeln.
Chris Whalen (stellvertretender Direktor für Cyber-Architektur bei der Bank of Canada)
Kommunikation ist so wichtig, dass ich dabei bleibe. Im Bereich der Cybersicherheit haben wir ein Verständnis für technische und komplexe Themen, die selbst unter uns oft schwer zu erklären sind.
Fangen wir damit an, das Publikum zu kennen. Die Botschaft, die ich an den Vorstand oder die Führungskräfte richte, wird sich von der Botschaft unterscheiden, die ich an den Rest der Organisation sende (z. B. an die Personalabteilung oder ein technisches Team).
Stellen Sie sich vor, Sie erfahren von einer neuen Angriffstechnik, durch die Ihre Organisation gefährdet sein könnte, wobei die Risikominderung zusätzliche Ressourcen erfordert. Ich verstehe die technischen Details und das potenzielle Ausmaß des Schadens, falls das Risiko realisiert wird, aber ich muss dies in den geschäftlichen Kontext übersetzen und erklären, warum die Anforderung von Ressourcen gerechtfertigt ist.
Diese Botschaft muss sorgfältig formuliert und übermittelt werden, da sie sonst möglicherweise nicht richtig aufgenommen wird und das Risiko bestehen bleibt – vielleicht sogar so lange, bis es zu spät ist und der Schaden bereits eingetreten ist. Es gibt keine Garantie, dass das Risiko zu 100 % gemindert werden kann. Eine Risikoanalyse hilft natürlich, aber man muss in der Lage sein, diese Denkweise zu kommunizieren und sie entsprechend zu untermauern.
Gehen wir einen Schritt weiter und wenden dies auf ein bereichsübergreifendes Projekt wie die Einhaltung von Cybersicherheitsvorschriften an. Beim Aufbau eines Compliance-Programms von Grund auf, um ein erfolgreiches SOC 2-Audit zu erreichen, musste ich mit verschiedenen Abteilungen der Organisation zusammenarbeiten, darunter HR, Rechtsabteilung, Finanzen und technische Teams in der Forschung und Entwicklung sowie mein eigenes Team. Die Fähigkeit, ihnen die Bedeutung von SOC 2 zu vermitteln, ihre jeweilige Rolle zu erklären und ihre Unterstützung zu gewinnen, ist entscheidend für den Erfolg. Selbst bevor man an diesen Punkt kommt, ist Unterstützung von oben notwendig. Es handelt sich um eine grosse Investition, und viele müssen zustimmen und mithelfen.
Wenn Sie Ihre Botschaft nicht so vermitteln können, dass Ihr Publikum sie versteht, werden Sie nicht sehr weit kommen.
Laura Voicu (Manager Security Assurance bei Elastic)
Ich bin fest davon überzeugt, dass in jeder Rolle der Informationssicherheit mehr als nur technische Fähigkeiten erforderlich sind. Es gibt viele gute Ratschläge zu den technischen Fähigkeiten, die in der Informationssicherheitsbranche notwendig sind. Aber Soft Skills können leicht wertvoller sein als technische Fähigkeiten. Als Sicherheitsexperten müssen wir mit Menschen kommunizieren. Informationssicherheit ist eine geteilte Verantwortung im gesamten Unternehmen. Unsere Aufgabe ist es, auf allen Ebenen zusammenzuarbeiten und eine Kultur der Sicherheit zu fördern. Wir müssen sicherstellen, dass Sicherheitsrichtlinien nicht nur vorhanden sind, sondern auch befolgt werden.
Kritisches Denken ist etwas, das jeder möchte, aber schwer klar zu definieren ist. Für mich bedeutet kritisches Denken, mit dem Ergebnis zu beginnen, das man erreichen möchte, und einen logischen Weg zu diesem Ergebnis zu skizzieren. Im Bereich der Informationssicherheit ist das Ergebnis der Schutz von Unternehmenswerten und -prozessen. Alles, was wir tun, sollte diesem Endziel dienen. Wenn nicht, kann es gestrichen werden.
Zu guter Letzt sind wir als Sicherheitsexperten hier, um dem Unternehmen zum Erfolg zu verhelfen und diesen zu ermöglichen – das ist das A und O, und diese Einstellung zu haben, ist äusserst wichtig.
