Das folgende Interview ist ein Interview mit Guillaume Ehny, der die Position des CISO bei GoHenry innehat – der Prepaid-Debitkarte und Finanzbildungs-App für Kinder zwischen 6 und 18 Jahren. Sein Hintergrund und seine formale Ausbildung liegen im Projektmanagement, und er hat für grosse multinationale Unternehmen gearbeitet, bevor er zu Start-ups, Sicherheit und Finanzdienstleistungen wechselte. Guillaume konzentriert sich auf die Zusammenarbeit mit Unternehmen, um die mit der Informationssicherheit verbundenen Risiken zu kommunizieren und zu reduzieren und ihnen zu ermöglichen, ihre Geschäftsziele und Visionen zu erreichen.
1. Zunächst einmal vielen Dank, dass Sie an dieser Kampagne teilnehmen, Guillaume. Wie sind Sie zum ersten Mal mit der Informationssicherheit in Berührung gekommen? Können Sie uns ein Projekt oder eine Inspiration nennen, die Sie zu Ihrem Engagement veranlasst hat?
Ich danke Ihnen für diese Gelegenheit. Ich bin, wie so oft vor 10 Jahren, eher zufällig zum Thema Sicherheit gekommen. Ich kam als Projektmanager zu einem Startup-Unternehmen im Finanzdienstleistungsbereich und meine erste Aufgabe bestand darin, die Einhaltung von PCI DSS Level 1 innerhalb von 6 Monaten zu gewährleisten. Nach viel harter Arbeit und Zusammenarbeit haben wir diesen Meilenstein erreicht, und damit war mein Interesse an der Informationssicherheit geweckt. Danach hatte ich die Möglichkeit, zum Informationssicherheitsmanager zu wechseln, und der Rest ist Geschichte.
2. Wir haben festgestellt, dass Sie derzeit als Chief Information Security Officer (CISO) bei einem Finanzdienstleistungsunternehmen tätig sind. Könnten Sie uns bitte sagen, welches die grössten Herausforderungen sind, die Sie in dieser Position reizen?
Die grössten Herausforderungen sind überraschenderweise auch die grössten Chancen. Eines der Merkmale von Finanzdienstleistungsunternehmen ist das Tempo der Innovation, der Umgestaltung und der Bereitstellung. Damit Schritt zu halten und Wachstumsphasen zu bewältigen, zwingt uns dazu, unsere Entscheidungen ständig zu hinterfragen, um sicherzustellen, dass wir mit der Unternehmensvision übereinstimmen und in der Lage sind, mit den verfügbaren Ressourcen die beste und angemessene Unterstützung zu bieten.
3. Was sind Ihrer Erfahrung nach die wichtigsten Soft Skills, über die ein CISO verfügen sollte?
Als CISO wird von Ihnen erwartet, dass Sie der Fachexperte sind, der jede technische Frage beantworten kann, aber auch in der Lage ist, mit einer Reihe von Interessengruppen zu kommunizieren, die ein unterschiedliches Verständnis von Sicherheit oder Technik haben. Eine wichtige Fähigkeit, die der CISO beherrschen muss, ist die emotionale Intelligenz und ihre Kernbestandteile: Selbstbewusstsein, Selbstregulierung, Motivation, Einfühlungsvermögen und soziales Management. All diese Fähigkeiten sind von entscheidender Bedeutung, um sich durch die täglichen Interaktionen mit einer Reihe von Personen – von Mitarbeitern bis hin zu Vorstandsmitgliedern – zu manövrieren, ihre Ziele und Erwartungen zu verstehen und den eigenen Diskurs entsprechend anzupassen.
4. Tatsächlich sind Insider-Bedrohungen ein massives Problem für Unternehmen in vielen Branchen, insbesondere jetzt, wo es neue Regelungen für die Telearbeit gibt. Wie können Finanzdienstleister diese Bedrohungen stoppen und verhindern?
Kurz gesagt, in Menschen investieren. Wellness und Wertschätzung für unsere Teams sind der beste Weg, mit diesem Phänomen umzugehen. Wenn es uns gelingt, unsere Teams motiviert und engagiert zu halten, ist die Wahrscheinlichkeit geringer, dass sie sich gegen ihre Unternehmen und Kollegen wenden. Die letzten Jahre waren für uns alle schwierig, und die unsichere Beschäftigungslage hat die Distanz zwischen dem Unternehmen und seinen Mitarbeitern verstärkt. Die Schaffung einer Kultur der gegenseitigen Unterstützung ist der Schlüssel zur Wiederherstellung dieses Vertrauens.
5. Welchen Rat würden Sie anderen CISOs geben, wenn es darum geht, anderen Stakeholdern die Rentabilität von Sicherheitsinvestitionen zu vermitteln?
Jedes Gremium hat seine eigene Sprache. Sowohl der Vorstand als auch der CISO müssen sie fließend beherrschen, und wie jede gesprochene Sprache erfordert sie regelmässige Übung und Anstrengung von beiden Seiten. Scheuen Sie sich nicht zu fragen, was sie von ihrem CISO und ihrer Sicherheitsfunktion im Allgemeinen erwarten, um die Kommunikation anpassen zu können. Auf der anderen Seite müssen Sie als CISO das Unternehmen, seine Prozesse, Aufgaben und die Art und Weise, wie es Geld verdient, verstehen, da sonst die Ziele beider Parteien nicht aufeinander abgestimmt sind. Diese Übung ist eine kontinuierliche Anstrengung von allen, die langfristig Vorteile und einen ROI bringen wird.
6. Wie sehen die zukünftigen Karrieren in der Informationssicherheit aus? Gibt es Strategien, die Sie uns mitteilen möchten, um eine Karriere in dieser Branche zukunftssicher zu machen?
Nach und nach sehen wir CISOs, die an COOs, CIOs oder sogar CEOs berichten, statt wie bisher an den CTO. Damit verschiebt sich die Wahrnehmung der Rolle des CISO, so dass er zu einer Führungspersönlichkeit und einem strategischen Aktivposten wird. Mit der Zunahme der ESG-Pläne in den Unternehmensstrategien und der Rolle, die die Sicherheitsprogramme in den drei Komponenten spielen, wird von leitenden Sicherheitsexperten erwartet, dass sie nicht nur technische, sondern auch Soft Skills mitbringen und in der Lage sind, Bedrohungen auf der Grundlage der geopolitischen Landschaft zu verstehen und zu kommunizieren.
7. Welche wesentlichen Veränderungen sehen Sie auf dem Markt für Informationssicherheit in den nächsten 3 bis 5 Jahren?
Hoffentlich eine grössere Vielfalt in diesem Sektor. Es gibt viele Gruppen und Einzelpersonen, die hervorragende Arbeit leisten und junge und weniger junge Studenten und Arbeitnehmer, die sich für die Informationssicherheit interessieren, anleiten, betreuen und schulen. Dadurch wird nicht nur das derzeitige Qualifikationsdefizit verringert, sondern auch eine vielfältige Gemeinschaft von Denkern gefördert, die dringend benötigt wird, um die Probleme von heute und morgen zu lösen. Alles, was es braucht, ist Neugier und der Wunsch, die Hand auszustrecken. Es wird immer eine Hand da sein, die Hilfe und Unterstützung anbietet, denn das ist es, was Informationssicherheit ist, eine unterstützende Funktion.
Klicken Sie hier, um mehr über den Ansatz des Swiss Cyber Institute zur Verbesserung der digitalen Sicherheit von Gesellschaft und Wirtschaft durch Bildung und wöchentliche Blogbeiträge zu erfahren. Do you think you are a good fit to participate in our SicherheitSeriesExperten Interviewreihe? Kontakt mit uns auf, um weitere Informationen zu erhalten.