Die folgenden Ausführungen stammen von Dr. Richard Diston, einem leitenden Angestellten im Bereich des Sicherheitsrisikomanagements, der über langjährige Erfahrung in der Beratung in einem breiten Spektrum komplexer Umgebungen verfügt. Dr. Richard kombiniert umfassende Branchenkenntnisse, betriebliche Erfahrungen und Geschäftssinn, um Unternehmensrisiken auf Führungs-, Management- und Betriebsebene zu bewerten. Er diskutierte mit uns über die besten Praktiken bei der Präsentation von Cybersicherheitsrisiken vor Führungskräften, über die Arten von Cyberbedrohungen, die am schwierigsten zu erkennen sind, und über weitere Themen. Siehe seine Website www.realsecuritydoctor.com und seine Twitter-Adresse @therealsecdoc. Geniessen Sie jetzt das vollständige Interview unten.

Interview zum Risikomanagement


1. Zunächst einmal danke ich Ihnen für Ihre Teilnahme an dieser Kampagne, Dr. Richard. Können Sie uns etwas über Ihren beruflichen Hintergrund und Ihre Interessengebiete erzählen?

Vielen Dank für die Einladung. Ich verliess die Schule als eine Art Versagerin mit weitaus schlechteren Noten als vorhergesagt. Ich habe auch ein College besucht und es dann abgebrochen. Damals sah ich einfach nicht die Relevanz der formalen Bildung, und sie schien keine der Antworten zu haben, nach denen ich suchte. Ich trieb mich ein paar Jahre herum, bevor ich in die Royal Air Force eintrat, wo ich etwa 7 Jahre lang diente.

Nach meiner Rückkehr ins zivile Leben arbeitete ich im Wachdienst, bevor ich in die IT-Branche wechselte. Anfang der 00er Jahre kehrte ich in den Sicherheitsbereich zurück und verbrachte einen Grossteil dieser Zeit als freiberuflicher Berater und Ausbilder, insbesondere im Bereich Konflikt- und Gewaltmanagement. Als sich die Anforderungen meiner Kunden änderten, begann ich mich weiterzubilden, um mich von meinen Mitbewerbern abzuheben, und schloss meinen MSc in Security Management an der Universität Loughborough mit Auszeichnung ab. Das war eine grosse Sache für mich, wenn man bedenkt, welche Erfahrungen ich im Bildungsbereich gemacht habe.

Anstatt es dabei zu belassen, schrieb ich mich an der Universität Portsmouth für eine professionelle Promotion im Bereich Sicherheitsrisikomanagement ein, noch bevor ich meinen MSc abgeschlossen hatte. Im letzten Jahr meiner Promotion habe ich die Prüfungen CISSP, CISM, CISA, CRISC, CGEIT, Security+, ITIL und ISO27001 Lead Implementer und Lead Auditor sowie einige andere abgelegt und bestanden. Heutzutage verbringe ich die meiste Zeit als Berater, Ausbilder und Unruhestifter in der Branche.

All dies führt zu meinem derzeitigen Interesse an der Steuerung von Sicherheitsrisiken, vor allem, weil ich verstehe, dass Sicherheit ein Problem von Organisationen ebenso wie ein Problem für Organisationen ist. Wie man so schön sagt: Ein Fisch verrottet vom Kopf her.


2. Sie sind eine leitende Führungskraft im Bereich des Sicherheitsrisikomanagements und können auf eine langjährige Erfahrung in der Beratung in einem breiten Spektrum komplexer Umgebungen verweisen. Erzählen Sie uns bitte von den Herausforderungen, die Sie in einem solchen Umfeld reizen.

Die grössten Herausforderungen ergeben sich aus einer Reihe von Bereichen. Ich könnte über eine schwache Unternehmensführung und eine unzureichende Architektur der Sicherheitsrisiken sprechen. Ich könnte über die Fixierung auf das Thema „Cyber“ und die Vorstellung diskutieren, dass es für die Sicherheit eine technische Lösung gibt (das ist nicht der Fall, es ist ein menschliches Problem). Ich könnte über die übermässige Beförderung von IT-Mitarbeitern in Führungspositionen im Sicherheitsbereich diskutieren, die weder das Kaliber noch den Charakter noch das Verständnis für das Thema haben, um echte organisatorische Veränderungen zu bewirken.

Ich könnte die Probleme im Zusammenhang mit der unzureichenden Ausbildung in diesem Sektor oder der unzureichenden Einstellungspraxis erörtern. Ich könnte über die Einstellung zur Einhaltung von Vorschriften sprechen, die die Kunst und Wissenschaft der Sicherheit in eine Übung zum Abhaken verwandelt. Die grössten Herausforderungen betreffen alle diese Bereiche in der einen oder anderen Form.

Was reizt mich an der Sache? Ich würde antworten, dass es die sich verändernde Unternehmensdynamik ist und die allmähliche Erkenntnis, dass die Sicherheitsabteilung das Sicherheitsrisiko nicht selbst trägt und dass sie nur dann als Geschäftsvorteil funktionieren kann, wenn das Unternehmen selbst erkennt, dass es in erster Linie für seinen eigenen Schutz verantwortlich ist. Wenn ich auf Unternehmen treffe, die bereit sind, ihre historischen Vorurteile gegenüber der Sicherheit zu überwinden (von denen einige durchaus gerechtfertigt sind) und offen sind für den echten geschäftlichen Nutzen, den eine gut informierte, gut unterstützte Sicherheitsfunktion bieten kann… dann ist mein Interesse geweckt.


3. Zu Ihren Schlüsselkompetenzen gehören Führung und Management von Sicherheitsrisiken. Was sind die besten Praktiken, um der Führungsebene die Risiken der Cybersicherheit zu präsentieren?

Eine gute Frage, aber ich bin mir nicht sicher, was die „besten Praktiken“ sind, da jeder, der diese Botschaft vermittelt, anders ist. Was in einer Situation das Beste für mich ist, muss in einer anderen Situation nicht das Beste sein, geschweige denn für irgendjemand anderen. Die Frage spiegelt meine Besorgnis über eine Branche wider, die verzweifelt nach „Spielbüchern“ sucht und sich sagen lassen will, „wie etwas zu tun ist“, als wäre es ein Konfigurationsprozess mit einem klar definierten Ergebnis. So funktioniert das Sicherheitsrisiko nicht.

Grundsätzlich müssen wir verstehen, was den Führungskräften in erster Linie wichtig ist, und wie sie die Welt sehen. Dies ist ein Gespräch über die Anpassung. Wir müssen die Grundprinzipien des Risikomanagements umsetzen, indem wir ihre Welt und ihre Wünsche (den Kontext) verstehen, bevor wir mit ihnen über die unseren sprechen. Stellen Sie sich vor, wir laden jemanden ein, mit uns auf eine Reise zu gehen. Meistens erwarten die Sicherheitskräfte, dass sie uns auf halbem Weg zu unserem Ziel abholen.

Das wird nie passieren. Wir müssen den ganzen Weg dorthin fahren, wo sie sind, um sie abzuholen. Wir müssen die Arbeit machen. Dann müssen wir die Governance verstehen, sowohl in Bezug auf die Gesetzgebung als auch auf aktuelle Trends. Das aktuelle Gerichtsverfahren, das Investoren gegen den Vorstand von Solarwinds angestrengt haben, ist ein gutes Beispiel dafür.


4. Was sollten CEOs über die Bedrohungen wissen, denen ihre Unternehmen im Bereich der Cybersicherheit ausgesetzt sind?

Sie brauchen von den Bedrohungen nichts zu wissen. Das ist unser Geschäft. Sie müssen die potenziellen Auswirkungen dieser Bedrohungen in finanzieller Hinsicht in Bezug auf ihre Strategie zur Schaffung eines sicheren Wertes kennen. Alles andere ist nicht relevant. Wenn sie das verstanden haben, ist die Unterstützung durch das Management wie von Zauberhand da. Denken Sie daran, dass „drohen“ ein Verb ist – es ist eine Handlung. So viele Leute verstehen nicht einmal die Risikosprache richtig und erfinden sie einfach nach und nach.


5. Welche kritischen Schritte können CEOs befolgen, um diese Cyber-Bedrohungen zu entschärfen?

Einfache Frage!

1. Schaffung von Organisationsstrukturen, die die Rechenschaftspflicht und die Verantwortung stärken und die Anforderungen an eine rationelle Verwaltung widerspiegeln.

2. Stellen Sie gute Leute ein, unterstützen Sie sie, hören Sie ihnen zu.

3. Schaffen Sie ein kulturelles Umfeld, in dem die Pflicht zum Dissens unterstützt wird und die Entscheidungsträger von einem Kaliber sind, das professionelle Kritik nicht persönlich nimmt.

4. Mit gutem Beispiel vorangehen.

5. Verstärken Sie positives Verhalten, setzen Sie eine Organisationspolitik gegen negatives Verhalten durch.

6. Ihre verdammte Arbeit machen, im Grunde.


6. Welche Arten von Cyber-Bedrohungen sind am schwierigsten zu erkennen? Vielleicht können Sie ein Beispiel aus dem wirklichen Leben nennen?

Diejenigen, von denen die Organisation nie geglaubt hätte, dass sie ihnen passieren könnten. Der verstorbene Prof. Barry Turner hat die Systemtheorie entwickelt, um zu erklären, wie vom Menschen verursachte Katastrophen entstehen, und sie passt perfekt zu dieser Diskussion. Organisationen schaffen mit ihrem Denken und ihrer Weltanschauung zunächst ihre eigenen Katastrophen. Wenn das Ereignis dann tatsächlich eintritt, ist ihre Reaktion suboptimal, weil sie erst noch die Verleugnung überwinden müssen. Insider-Bedrohungen sind die, die einem sofort einfallen. Unsere Leute würden unserem Geschäft niemals schaden. Ja, richtig.


7. Was sind Ihrer Meinung nach die wichtigsten Trends im Bereich Risikomanagement und Governance in den nächsten 3 bis 5 Jahren?

Nun, als Risikopraktiker mache ich keine Vorhersagen, aber ich werde eine Prognose abgeben! Beachten Sie, dass 5 Jahre bei unserem derzeitigen Tempo des Wandels eine Ewigkeit sind, daher bleibe ich bei 3 Jahren. Wir beobachten eine Zunahme aktivistischer Investoren, die sich dafür interessieren, wie Unternehmen ihre (beträchtlichen) Investitionen schützen.

Die Verlagerung der Kontrolle von der Führungsetage zurück zum Vorstand (wo sie hingehört und wo die gesamte Verantwortung liegt) ist ein Schlüsselfaktor dafür. Ich empfehle die Arbeit von Prof. Bob Garratt zu diesem Thema. Wenn wir bedenken, dass die Investoren jetzt an einem dreifachen Ergebnis interessiert sind (jenseits der reinen Finanzerträge), bietet sich für Sicherheitsfachleute die Gelegenheit, direkt mit dem Vorstand zu sprechen und den Wert zu demonstrieren, ohne den Puffer/die Korruption, den/die uns die C-Suite bis jetzt geboten hat. Dies erfordert natürlich das richtige Kaliber von Fachleuten für Sicherheitsrisiken, aber das ist ein ganz anderes Thema.

Klicken Sie hier, um mehr über den Ansatz des Swiss Cyber Institute zur Verbesserung der digitalen Sicherheit und des Schutzes von Gesellschaft und Wirtschaft durch Bildung und wöchentliche Blogbeiträge zu erfahren. Glauben Sie, dass Sie gut in unsere Interviewreihe mit Sicherheitsexperten passen würden? Kontaktieren Sie uns für weitere Informationen.