Wir haben kürzlich ein Interview mit Carlos Arglebe geführt, der bei Siemens Healthineers, einem führenden Medizintechnikunternehmen mit Hauptsitz in Deutschland, die Position des Head of Cybersecurity innehat. Carlos hat zuvor 5 Jahre lang als Chief Information Security Officer (CISO) gearbeitet. Das Swiss Cyber Institute schätzt seine Bereitschaft, an der Interviewserie mit Sicherheitsexperten teilzunehmen, in der Carlos über die Vermittlung des ROI für Sicherheitsinvestitionen an andere Stakeholder, den Mangel an Cyber-Talenten in Europa und weitere Themen sprach. Viel Spass mit dem vollständigen Interview unten, wir versprechen, dass es aufschlussreich sein wird.

Interview mit dem Leiter der Abteilung Cybersicherheit


1. Erstens: Vielen Dank, dass du an dieser Kampagne teilnimmst, Carlos. Können Sie uns etwas über Ihren beruflichen Hintergrund und Ihre Interessengebiete erzählen?

Ich danke Ihnen für die Einladung. Ich fühle mich geehrt, Teil dieser Kampagne zu sein, da sie es neuen Generationen von Cybersicherheitsverteidigern ermöglicht, sich der Sache anzuschließen. Mehr Interesse mit Einblicken in diesen spannenden Bereich zu wecken, hilft, persönliche Entscheidungen zu treffen. Die Vielseitigkeit der Arbeit erstaunt mich wirklich jeden Tag.

Nach meiner juristischen Ausbildung bin ich auf den Zug des Qualitäts-, Regulierungs-, Risiko- und Prozessmanagements aufgesprungen. Das Gesundheitswesen und insbesondere Medizinprodukte erfordern in diesen Bereichen ein starkes rechtliches, regulatorisches und organisatorisches Wissen mit einer hohen technischen Affinität. Jeder von uns ist ein Patient oder kann ein solcher werden und braucht eine klinische Diagnose oder Pflege. Ihr grösstes Interesse besteht also darin, dass es Ihnen nicht schlechter geht und Sie nicht unter einem Zwischenfall im Bereich der Patientensicherheit leiden, z. B. durch eine falsche Behandlung, ein falsches Medikament, eine Verletzung durch ein Gerät, einschliesslich Strahlung, usw.

Sie wollen doch gesund werden, oder? Mit den zunehmenden Möglichkeiten der Digitalisierung elektronischer Patientenakten und anderer vernetzter Systeme möchten Sie, dass Ihre Daten geschützt werden, denn es geht niemanden etwas an, was Sie durchmachen. Sie ist persönlich. Ich sprach über rechtliche und regulatorische Fragen, lernte die Bedürfnisse von Unternehmen und Kunden kennen und wurde zum Übersetzer, der es anderen ermöglicht, ihre Fachkenntnisse anzuwenden. Schon früh entwickelte ich ein besonderes Interesse an Risiko- und Änderungsmanagement. Ich habe jeden Tag so viel gelernt.

Dies öffnete mir die Tür in den Sicherheitsbereich. Zunächst wurde mir die Rolle des CISO als Wachstumsbereich anvertraut. Da ich aus dem Qualitäts- und Regulierungsbereich des Gesundheitswesens komme, sah ich schnell die Möglichkeit, die Punkte weiter zu verbinden und einen integrierten und ganzheitlichen Sicherheitsansatz im Unternehmen zu entwickeln. Informationen werden hauptsächlich in IT-Systemen in einem Unternehmen verarbeitet und ermöglichen die Entwicklung wunderbarer medizinischer Geräte, die zunehmend aus Software bestehen. Diese Lösungen werden in der Umgebung der Gesundheitsdienstleister zum Nutzen der Patienten eingesetzt, betrieben und gewartet. Daher wurde die Sicherheit für mich zur obersten Priorität, um die Sicherheit und den Schutz der Patienten zu gewährleisten.

Heute fühle ich mich geehrt, ein Mitglied der globalen Gemeinschaft der Cybersicherheit zu sein. Heute umfasst die Verantwortung für die Cybersicherheit die Informationssicherheit und die Sicherheit von Produkten und Lösungen. Es ist eine Aufgabe, die in hohem Masse auf Zusammenarbeit beruht, um die Sicherheit im gesamten Unternehmen und in der gesamten Lieferkette zu lenken und zu ermöglichen. Anfangs wusste ich nicht, dass es diesen Beruf gibt. Meine persönlichen Interessen als Befähiger, Risiko- und Veränderer haben mich dorthin gebracht, wo ich heute bin. Ich habe das Gefühl, dass ich mit der Zusammenarbeit in Teams gewachsen bin, nicht mit Titeln.


2. Sie sind seit über 6 Jahren in sicherheitsrelevanten Funktionen tätig. Was waren in den letzten Jahren Ihrer Tätigkeit als Leiter der Abteilung Cybersicherheit die grössten Herausforderungen in dieser Funktion?

Es mag komisch klingen, aber meine grösste Herausforderung ist es, Cybersicherheit für andere verständlich zu machen. Um dies zu erreichen, muss ich die Vielfalt dieses Bereichs verstehen, um ihn in die Verantwortung aller einzubeziehen. Die Cybersicherheit ist Teil so vieler Bereiche und von grosser Bedeutung. Auf allen Ebenen der Organisation und sogar der Gesellschaft. Die Cybersicherheit ist nicht neu, da sie auf allgemeinen Sicherheitskontrollen und -erfordernissen beruht, die schon lange vor dem Römischen Reich bestanden. Informationen waren schon immer der Treibstoff für wachsende und entstehende Gesellschaften.

Da Sicherheit heute nicht mehr als etwas Isoliertes oder als ein Bereich nur für Spezialisten angesehen werden kann, sind wir darauf angewiesen, dass jeder seinen Beitrag zu sicheren Abläufen leistet. Bei der Arbeit, zu Hause oder unterwegs. Es ist eine grosse Herausforderung, die Cybersicherheit zu einer Priorität für alle zu machen, denn die Menschen haben bereits so viele Prioritäten, auf die sie sich konzentrieren müssen. Es kommt also so rüber, als ob „Cyber mit den anderen konkurriert“. Angeschraubt oder einfach aufgesetzt. Manchmal als letzte Überlegung. Das ist weder sinnvoll noch effektiv noch nachhaltig. Schliesslich beruht die Cybersicherheit auf der Einbeziehung von Menschen, Prozessen und Technologie.

Darüber hinaus besteht die Herausforderung darin, den Sicherheitsrahmen von einem richtlinien- und konformitätsorientierten Ansatz (Sicherheit wird genehmigt) auf einen vernünftigen Ansatz umzustellen. Sagen Sie mir, was ich tun muss, damit dieser Antrag genehmigt wird“ ist eine Frage, die wir oft hören. Nun, wir geben Hilfestellung und ermöglichen den Schutz des Einzelnen und des Unternehmens, aber das erfordert mehr Wissen über die Sicherheit im gesamten Unternehmen und in der Lieferkette. Wir arbeiten mit hervorragenden Fachleuten aus den Bereichen IT und Forschung und Entwicklung zusammen. Die meisten konzentrieren sich darauf, die Dinge in Gang zu bringen und die Funktionen betriebsbereit zu machen.

Was wir noch entwickeln müssen, ist die Neugier und die Fähigkeit, zu erkennen, was schief gehen kann und wie man ein System, einen Prozess oder eine Infrastruktur abschalten kann, um weiteren Schaden zu verhindern. Das Fazit meiner grossen Herausforderungen besteht darin, die Menschen in die Lage zu versetzen, die Risiken zu verstehen, die richtigen Massnahmen zu ergreifen und die Cybersicherheit als Chance zu begreifen, die sie, ihre Gemeinschaft und ihre Lieben schützt.


3. Was sind Ihrer Meinung nach die wichtigsten Fähigkeiten, sowohl technische als auch soziale, die ein Head of Cybersecurity unbedingt braucht?

Ich bin noch am Lernen. Jeden Tag. Resilienz erfordert die Fähigkeit, zuzuhören, zu lernen und sich an die Veränderungen, denen wir ausgesetzt sind, anzupassen. Als Leiter der Cybersicherheit muss man mir vertrauen. Im Vertrauen darauf, dass ich die Bedürfnisse verstehe, die Risiken und Bedrohungen kenne und dazu beitragen kann, sie zu mildern und hoffentlich zu vermeiden. Der Titel und die Autorität sind wertlos, wenn das Vertrauen nicht täglich verdient wird.

In meiner Funktion wächst das technische Wissen mit der Zeit und ist erforderlich, um die Zusammenhänge zu verstehen. Technologie ist sicherlich der Schlüssel. Ich bin jedoch auf das Vertrauen und den Respekt der technischen Experten angewiesen, die mich unterstützen. Wir konkurrieren nicht in Bezug auf Wissen und Fähigkeiten. Wir sind eine vielfältige Gemeinschaft, die aus unterschiedlichen Hintergründen, Erfahrungen und Perspektiven lernt.

Meine wichtigsten erforderlichen Fähigkeiten sind Kommunikation und Veränderungsmanagement. Die juristische Ausbildung hat mich befähigt, in Systemen zu denken und zu handeln. Es reicht nicht aus, Probleme zu lösen oder Feuer zu bekämpfen. Es ist ein systematischer Ansatz erforderlich, um die Ursachen zu ermitteln und zu beseitigen. Verhinderung des Auftretens oder Wiederauftretens bei Menschen. Das ist lohnend.

Interview mit einem Sicherheitsexperten


4. Was ist das grösste Missverständnis über die Arbeit eines Leiters der Cybersicherheit?

Alles zu wissen. Ein Technikfreak, der mit einem Smartphone in gesicherte Netzwerke einbricht. Die volle Kontrolle zu haben und in einem Kontrollraum mit mehreren Megadisplays zu arbeiten, ein bisschen wie M oder Q in einem James Bond-Film zu handeln. Manchmal fühlt man sich wie in einem Thriller. Aber wir sind im wirklichen Leben. Wir arbeiten mit Menschen zusammen und anstatt alles zu wissen, finden wir es gemeinsam heraus.


5. Welchen Rat würden Sie anderen Sicherheitsdirektoren und CISOs geben, wenn es darum geht, anderen Interessengruppen die Rentabilität von Sicherheitsinvestitionen zu vermitteln?

Das ist eine gute Frage. Zur Sicherheit kann der ROI mit ausgefeilten wissenschaftlichen Formeln berechnet werden. Objektiv betrachtet mag das alles einen Sinn ergeben, aber überzeugend ist es trotzdem nicht. Im Bereich der Cybersicherheit gibt es viele Möglichkeiten, den erwarteten Schutz zu erreichen. Ich muss also zunächst die Risikobereitschaft des Unternehmens verstehen.

Dann versuche ich, die Notwendigkeit von Investitionen zu überzeugen, indem ich die Lücke aufzeige. Das heisst, die Auswirkungen des Ausbleibens der Investition. Keine Leute für diesen Bereich, keine Konzentration auf dieses Thema bedeutet ein Risiko. Mit anderen Worten: Wenn die Beteiligten die Notwendigkeit verstehen, kommen sie mit.

Aber es ist ein langer Weg, denn im Bereich der Cybersicherheit müssen wir die Mitarbeiter und technischen Fähigkeiten im gesamten Unternehmen ausbauen und nicht nur in einem zentralen Team. Verwenden Sie das Risikomanagement als Sprache und Methode, um die Entscheidungsfindung mit Ihren Interessengruppen zu unterstützen. Sorgen Sie dafür, dass sie ihrer Verantwortung mit sicheren Verfahren und Diensten gerecht werden können.


6. Was sind die wichtigsten Schritte für kleine und mittlere Unternehmen, um die erste Sicherheitslinie aufzubauen?

Die erste Linie der Sicherheit sind die Menschen. Ihre Handlungen bestimmen das Schutzniveau. Was sie tun und wie sie es tun, macht einen grossen Unterschied. Wir sehen die Menschen gerne als unser Immunsystem in der Digitalisierung. Darüber hinaus müssen wir ein Umfeld des Vertrauens und des Lernens schaffen. Das ist leicht gesagt, denn bei Sicherheitsvorfällen wird oft schnell mit dem Finger auf andere gezeigt und der Schuldige ermittelt. Die Menschen wollen das Richtige tun. Lernen, Wertschätzung, Belohnung und Entwicklung sind wichtig, damit sie sich in erster Linie engagieren.

Die Schaffung eines Risikorahmens, der die Art des Unternehmens, die Lieferkette, die Kunden und die Marktanforderungen berücksichtigt, ist von entscheidender Bedeutung, da er die Kompassnadel für alle im Unternehmen ist. Auf diese Weise können sie die richtigen Entscheidungen treffen und die Unternehmensstrategie unterstützen.

Der dritte Schritt: Ich bin ein grosser Fan von Transparenz. Ein aussagekräftiges Berichtssystem, das Transparenz über die wichtigsten Risikobereiche schafft. Was man nicht messen kann, kann man auch nicht verbessern, oder? Beginnen Sie also damit, die grundlegenden Hygienefaktoren in Ihrem Unternehmen zu messen, angefangen bei Vermögenswerten, Patch-Level, Ausnahmen, Schulungen usw. Es gibt viele gute Beispiele. Es ist wichtig, sie auf Ihr Unternehmen zu übertragen, unabhängig von dessen Grösse.

Die Tatsache, dass die Cybersicherheit nicht nur ein IT-Thema ist, sondern eine strategische Priorität, zu der alle beitragen müssen, schafft eine solide erste Sicherheitslinie.


7. Wie gross ist der Mangel an Cyber-Talenten in Europa? Was sollten Unternehmen sonst noch tun, um die richtigen Kandidaten für offene Stellen im Bereich Cybersicherheit zu finden?

Sehr gross. Es ist schwer, den richtigen Kandidaten zu finden. Dies ist nicht nur auf den Mangel an Fachkräften zurückzuführen, sondern auch darauf, dass die Fachkräfte sich selbst nicht als „Cybersicherheitsexperten“ sehen. Wir haben ein grosses Potenzial in vielen Bereichen, die in den Bereich der Cybersicherheit hineinwachsen können. Was ich in den letzten Jahren über diesen faszinierenden Bereich gelernt habe, ist, dass es viele Standardjobs und erforderliche Rollen gibt. Aber viele unterscheiden sich wirklich und können entsprechend entwickelt werden.

Als junge Berufsfamilie müssen wir den Mut haben, Leute mit Talent einzustellen und diesen Bereich zu einem Bereich des persönlichen Wachstums zu machen. Unternehmen sollten frühzeitig in den Aufbau und die Förderung von Talenten investieren. Manchmal braucht man einen Top-Experten von außen, aber die wahren Helden sind die Talente innerhalb des Unternehmens, die das Geschäft verstehen und schützen, vom IT-Support über den Kundensupport, die Softwareentwicklung, die Schulung, die Kommunikation usw.

Zu diesem Zweck muss jede Organisation ein klares Bild davon haben, was jeder haben muss, eine klare Jobfamilie pflegen und einen Plan für Cybersicherheit entwickeln. Wenn möglich, sollten Studenten, Auszubildende oder direkt Universitäten einbezogen werden. Dies bietet das ganze Jahr über gute Möglichkeiten und verringert den Druck, wenn eine Stelle schnell besetzt oder nachbesetzt werden muss.


8. Wie halten Sie sich über Branchennachrichten und Aktualisierungen im Bereich Informationssicherheit und Technologie auf dem Laufenden? Teilen Sie uns gerne die Quellen und Websites mit.

Meine Lieblingsquelle sind die Menschen. Sie übermitteln mir Informationen über einen bestimmten Hack, eine Sicherheitslücke, ein Problem, einen Social-Engineering-Fall usw. So bleibe ich mit ihnen in Verbindung, da sie mir mitteilen, was sie sehen. Zu diesem Zweck haben wir einen internen Social-Media-Kanal eingerichtet, an dem die Menschen teilnehmen, sich austauschen und lernen wollen.

Alle Arten von Nachrichtenkanälen sind für mich wertvoll, und ich verwende interne Listen zur Überwachung von Nachrichten, um mich über geopolitische, regulatorische und technologiebezogene Veränderungen zu informieren. Externe Quellen wie Nachrichten von Anbietern, CERTs, CISA, FDA, ENISA, BSI, FIRST und anderen sind äusserst wertvoll. Für uns im Gesundheitswesen ist der Zugang zu Bedrohungsdaten sehr wichtig, und wir sind ein stolzes Mitglied des H-ISAC, das bei der schnellen Analyse und Verteilung sensibler Informationen hervorragende Arbeit leistet. Ausserdem finde ich die Informationen, die das CyberPeace Institut zur Verfügung stellt, wertvoll für mich.

Ich habe die Tatsache akzeptiert, dass ich in einem sich schnell entwickelnden Umfeld nicht alles wissen kann. Sich Zeit zu nehmen, um zu lernen und Informationen aufzunehmen, ist der Schlüssel zu meiner Rolle, und es fühlt sich an wie eine Reise auf einem riesigen Fluss, der manchmal ruhig, dann wieder schnell ist und sogar einige überraschende Wildwasserabschnitte hat. Ich muss nur auf Kurs und im Fluss bleiben. Es gibt viele zuverlässige Quellen, die mich mit Informationen versorgen, um Vertrauen in die Informationen zu schaffen. Zeit und Kontext sind wichtig. Auch hier helfen mir die Menschen, den Überblick über Informationen, Timing und Kontext zu behalten.

Klicken Sie hier, um mehr über den Ansatz des Swiss Cyber Institute zur Verbesserung der digitalen Sicherheit und des Schutzes von Gesellschaft und Wirtschaft durch Bildung und wöchentliche Blogbeiträge zu erfahren. Glauben Sie, dass Sie gut in unsere Interviewreihe mit Sicherheitsexperten passen würden? Kontaktieren Sie uns für weitere Informationen.