Thats the way - aha aha - i like it: Über die Kommunikationsstrategien von CISOs

Loading...

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

0 comments

Post a comment

    Post a comment
    Embed Video
    Edit your comment Cancel

    Notes on slide 1

    In der modernen Unternehmensführung sind Management-Systeme zur Entscheidungs-Unterstützung nicht mehr weg zu denken. Speziell Systeme aus den Bereichen Governance-, Risiko- und Compliancemanagement unterstützen in speziellem Maße die Unternehmensführung in deren Entscheidungen. 

    Die Herkunft der CISOs lässt sich als Digitaler Untergrund bezeichnen.Die Tätigkeit als CISO und damit das Abtauchen in den digitalen Untergrund führt teilweise zu einer Digitalisierung menschlich-paradoxer Verhaltens- und Erlebensweisen des CISOs.

    CISO lebt in einer Spaltung. Sein Grundproblem ist nicht das Leben im digitalen Untergrund, sondern der Austausch mit der analogen Wirklichkeit.

    In der Ausübung einer CISO-Tätigkeit sind z.T. unbewusste Strategien enthalten, die zu einer Lösung des Grundproblems der Security führen sollen.

    Um die Strategien plastischer zu gestalten, werden sie in Form exemplarischer Typen erzählt. Sämtliche Typen existieren nicht in der dargestellten Reinform.

    Business improvement:Do the same thing better, faster, and cheaperBusiness innovation:Create new and more valuable ways of interacting with customers, suppliers, andpartnersEnter or create new marketsOpen new streams of revenue within a marketDo the same thing in a radically improved way thatdramaticallychangescompetitivedynamics

    Talk business value not technologyCheck if you have the right team (skills) for thatAlignyourstakeholdersCreate common Control Framework IT InControlAssess most important business processesIdentify critical Roles, Processes, IT AssetsUse collected to large extend (BCP, DRM, …)MapandreportrisksRealize all possiblebenefitsDelightyour C level

    Favorites, Groups & Events

    Thats the way - aha aha - i like it: Über die Kommunikationsstrategien von CISOs - Presentation Transcript

    1. Wir schützen vertrauliche Informationen.
      That`stheway – aha aha – I likeitDer CISO in der Kommunikation und strategische Ansätze von Awareness Kampagnen
      Marcus Beyer, Architect Security Awareness, ISPIN AG
    2. Agenda
      • Wer bin ich und wenn ja, wie viele?
      • Ein Käfig voller Narren
      • Der Froschkönig
      • HowtobeLiked?
      • Sicherheitskultur (Awareness) als Enabler
    3. O-Töne von Awareness-Gruppenmitgliedern eines populären Social Media-Netzwerkes
    4. O-Töne von Awareness-Gruppenmitgliedern eines populären Social Media-Netzwerkes
    5. O-Töne von Awareness-Gruppenmitgliedern eines populären Social Media-Netzwerkes
    6. O-Töne von Awareness-Gruppenmitgliedern eines populären Social Media-Netzwerkes
    7. Definition CISO
      Der CISO nimmt sich meist der folgenden Aufgaben an:
      • Erarbeitung und Definition der sicherheitsrelevanten Objekte, der Bedrohungen und Risiken und den daraus abgeleiteten Sicherheitszielen
      • Aufbau und Betrieb einer Organisationseinheit zur Umsetzung der Sicherheitsziele
      • Ausarbeitung, Anpassung von Sicherheitsvorschriften
      • Auditierung der Funktionseinheiten zum Stand der Umsetzung und Weiterentwicklung der Sicherheitsvorschriften
      • Bewusstsein der Mitarbeiter durch Trainings und Kampagnen schaffen
      • Portfolio-Management der sicherheitsrelevanten Unternehmensprozesse
    8. Anforderungen an CISOs
      Grafik: avedos™ GRC-Pyramide
    9. Dilema „Was man von CISOs erwartet“
      • Kommunikator
      • Sicherheitschef
      • Technischer Crack
      • Projektleiter
      • Teamleader
      • Betriebswirt
      • Compliance-Manager
      … und gut drauf sein!
    10. Die Sicht auf das Ganze
      Weiss jeder welches unsere Werte sind?
      Worauf können wir bei unserer U‘Kultur bauen?
      Wie entwickeln wir eine Sicherheits-Kultur?
      Können wir unsere Sicherheit messen?
    11. Das Thema Sicherheit im Wandel
    12. Profile im Wandel
      „Denkansätze für den Aufgabenwandel“ WIK 96/7
      Damals „ (..) Er strebt nun eine Tätigkeit im Unternehmensschutz eines international tätigen Unternehmens an.“
      Heute: Dr. Axel Sitt
      Die comratio Technology & Consulting GmbH bietet Ihnen professionelle Beratungsdienstleistungen für die Funktionen Risikomanagement, Security Management, Frühwarnsystem, Krisenmanagement und Interne Revision.
    13. Wer ist der CISO
      „Woher komme ich? Was bin ich? Wo gehe ich hin?
      Mehr noch: Auf welche Weise? Auf welchen
      Wegen?“
      Beichtvater, Froschkönig
      oder Columbo?
    15. Ziele der Studie
      • Wirken, Selbstbild resp. Image und Positionierung
      • eine anschauliche Typisierung zu entwickeln um Learningsgenerieren zu können.
    16. Die Psychodynamik der Studie
      Die Begegnungen mit den CISOs erinnerten oftmals
      an das Erleben im Umgang mit einem Kippbild
      (optische Illusion).
      • CISOs sind hin- und hergerissen.
      • Mal reger Austausch, dann wie vor verschlossenen Türen.
      • Mal offensiv-divenhaft, dann wiederum zurückhaltend und versteckt.
      Die verschiedenen Haltungen führen keine Beziehung
      untereinander. Sie wirken wie getrennt = Psycho-
      Dynamik der Studie durch eine Tendenz zur Spaltung
      gekennzeichnet – einem Mal-so-mal-so.
    17. Die Wirklichkeit als CISO
      Ein zufälliges Hineingeraten …
      • Die Mehrheit stammt ursprünglich aus eher technisch geprägten Bereichen.
      • Befragten hatten Tätigkeit nicht auf ihrem Berufswunschzettel.
      »Ich hab Technische
      Informatik studiert (...)
      und mich dann
      durchgeschlängelt. Ich
      wollte ursprünglich nur
      programmieren.«
    18. Die Wirklichkeit als CISO
      Besonderes vs. Banales bestimmt die Wahrnehmung der Position.
      • Einerseits: Auszeichnung, mit dieser verantwortungsvollen Tätigkeit betraut zu werden.
      • Andererseits: Eindruck, dass es darum geht, diesen Bereich reibungslos zu besetzen.
      • CISOs selber schwanken in der Wertschätzung ihrer eigenen Tätigkeit (wenig wertvoll).
      Tätigkeit verspricht ein Arbeiten mit Gestaltungsfreiheit & hat existentielle Funktion für das Unternehmen.
      »Zufriedenheit (schmunzelt)
      hat man selten, aber
      immerhin ... wenn man
      gute Arbeit macht, fällt man
      nicht auf.«
    19. Die Wirklichkeit als CISO
      Reaktionen der Mitarbeiter
      CISOs werden als Vertreter einer anderen, einer
      unbekannten und unfassbaren Welt mit eigener
      Sprache und Ordnung betrachtet.
      »In meiner Freizeit gehe ich
      klettern und mach mit
      Kumpels Mountainbike-
      Touren. Das weiss keiner.«
    20. Dinge, die Security-Manager tun, wenn sie nicht arbeiten
      Fussballspielen – Canyoning – Basketball spielen – Wandern auf Spuren des leuchtenden Pfads – Triathlon – An Radrennen teilnehmen – Biking – Mit Aktien spekulieren – Klettern + Bergsteigen – Rasen auf Autobahnen – Schwimmen + Tiefseetauchen – Vier oder mehr Kinder zeugen und grossziehen – Mit ihren Kindern herumturnen
    21. Die gefährlichsten Sportarten laut US-Magazin Forbes(2008)
      Fussball – Eishockey – Basketball – Radsport – Fallschirmspringen – Qaudbiking – Stabhochsprung – Cheerleading – Schwimmen + Tauchen – Football – Ringen + Turnen
    22. Die Wirklichkeit als CISO
    23. Die Wirklichkeit als CISO
    24. Versuch einer Typisierung
      • Welche Strategien verfolgen die CISOs bei der Einrichtung einer Sicherheitskultur?
      • Welche Wirkungen löst die jeweilige Strategie im Unternehmen aus?
      • Welches Bild hat der CISOs in der entsprechenden Strategie?
    25. Typus 1 | Die zentrale Kontrollinstanz – meine Sicherheit ist Gesetz
      • Vision einer 100 %igen Sicherheit. Voraussetzung: alle Prozesse finden in einem geschlossenen System statt.
      • Die Arbeitsabläufe, die Verbindung mit der Aussenwelt und vor allem die Mitarbeiter = Störung dieser Vision.
      • Wunschvorstellung: Sicherheit wird durch Technik (ggfs. zzgl. Organisation) hergestellt (Unersetzbarkeit und Macht).
      • Sicherheitskultur wird nicht vermittelt, sondern erzwungen.
      • Wer nicht spurt, wird ausgeschlossen.
      »Bei Fehlverhalten gibt es
      erst eine mündliche
      Mahnung. Manche sind
      resistent. Dann gibt es einen zweiten Hinweis. Wenn das nicht reicht, gibt es eine schriftliche Abmahnung.«
    26. Typus 1 | Die zentrale Kontrollinstanz – meine Sicherheit ist Gesetz
      • Vision einer 100 %igen Sicherheit. Voraussetzung: alle Prozesse finden in einem geschlossenen System statt.
      • Die Arbeitsabläufe, die Verbindung mit der Aussenwelt und vor allem die Mitarbeiter = Störung dieser Vision.
      • Wunschvorstellung: Sicherheit wird durch Technik (ggfs. zzgl. Organisation) hergestellt (Unersetzbarkeit und Macht).
      • Sicherheitskultur wird nicht vermittelt, sondern erzwungen.
      • Wer nicht spurt, wird ausgeschlossen.
      »Bei Fehlverhalten gibt es
      erst eine mündliche
      Mahnung. Manche sind
      resistent. Dann gibt es einen zweiten Hinweis. Wenn das nicht reicht, gibt es eine schriftliche Abmahnung.«
    27. Typus 1 | Die zentrale Kontrollinstanz – meine Sicherheit ist Gesetz
      • Fehler des CISOs führen zu grosser Schadenfreude der Mitarbeiter. Möglichkeiten werden gesucht, die Regeln des CISOs zu umgehen.
      • Dadurch kommt es immer wieder zu entsicherndem Umgang.
      • In der zentralen Kontrollinstanz sind Züge einer Diva enthalten.
      • Menschlich-analoge Seiten werden konsequent abgespalten.
      Als (fiktive) Person spiegelt sich die Zentrale
      Kontrollinstanz am ehesten in Fräulein Rottenmeier
      (aus: »Heidi«) wider.
      »Wenn der CISO der
      beliebteste Mann im
      Unternehmen ist, stimmt
      etwas nicht.«
    28. Typus 2 | Der Sicherheits-Service – Sicherheit soll nicht spürbar werden
      • Unauffälliges und überwiegend freundliches Auftreten.
      • Wohlwollen der Mitarbeiter sehr wichtig. Er will gemocht werden.
      • Sicherheit soll nicht belasten oder einschränken – vor allem nicht die Beziehung zwischen User und CISO (Service-Unternehmen)
      • CISO braucht Probleme und Störungen, weil er hierdurch als Sicherheits-Service agieren kann (Rolle des Helfers).
      • Er kann Mädchen für alles sein (wenig bis keine Kernkompetenz).
      »Ich komme mir vor wie ein
      Mann vom ADAC. Den holt
      man auch nur, wenn man
      am Strassenrand liegen
      geblieben ist.«
    29. Typus 2 | Der Sicherheits-Service – Sicherheit soll nicht spürbar werden
      • Kann sich gut in die User hineinversetzen. Aber Probleme, Relevanz seiner Belange und die damit verbundenen Konsequenzen durchzusetzen.
      • Wenn etwas nicht läuft = Mann der Stunde. In der restlichen Zeit = eher ungesehenes Dasein.
      • Es gelingt ihm nicht, einen dauerhaften Eindruck zu hinterlassen.
      • Fürchtet um seine Existenz im Unternehmen (z.B. Bedrohung durch Externe).
      Als Person spiegelt sich der Sicherheits-Service am
      ehesten in Mutter Teresa wider.
      »Alles soll so weitergehen
      wie bisher. Ich habe ein
      gutes Verhältnis zu den
      Mitarbeitern. Die können mit
      Problemen zu mir kommen.«
    30. Typus 3 | Der Streetworker – (Ein-)Beziehung bietet Sicherheit
      • IT-Sicherheit als eine auf das Unternehmen zugeschnittene Konfiguration.
      • Strategie: Beweglichkeit und ein Interesse am interdisziplinären Austausch.
      • Interessen der Sicherheit wie auch die der Mitarbeiter werden in einen Austausch gebracht.
      • Führung mit Sinnstiftung durch das Einrichten einer Sicherheitskultur.
      • Bei wechselseitiger Integration will keine 100 %ige Sicherheit erreicht werden.
      • Ist in beiden Welten (Zwischenwesen: analog/digital) zu Hause.
    31. Typus 3 | Der Streetworker – (Ein-)Beziehung bietet Sicherheit
      • In gewisser Weise entsichert sich der CISO, weil er an bestimmten Stellen ein Sicherheitsrisiko in Kauf nimmt, um der analogen Sichtweise der Mitarbeiter zu begegnen.
      • Setzt – anders als die der Zentralen Kontrollinstanz und des Sicherheits-Services – nicht auf Spaltung, sondern auf ein Verzahnen der analogen und digitalen Perspektive.
      Als (fiktive) Person spiegelt sich der Streetworker
      am ehesten in Inspektor Columbo aus der
      gleichnamigen TV-Serie wider.
      »Mein Vorsatz ist: Vergiss
      nie, dass du auch mal da
      gesessen hast, wo die jetzt
      sitzen.«
    32. Fazit CISO-Studie
    33. Fazit CISO-Studie
      Der CISO ist mit einer paradoxen Anforderung
      konfrontiert.
      • Er spürt, dass er ein Sicherheitsrisiko eingehen muss, um für eine verbindlichere, stabilere Sicherheitskultur zu sorgen.
      • Zugespitzt: Entsicherung produziert Sicherheit – der CISO muss nun entscheiden, an welcher Stelle Entsicherungen vertretbar sind!
    34. Fazit CISO-Studie
      • Die pragmatische Formel: »100 % Sicherheit gibt es nicht, 80 % sind ausreichend« stellt eher eine Belastung als eine Erleichterung dar.
      • Es ist einfacher, sich an dem Versuch einer 100 %igen Sicherheit abzuarbeiten als sich auf ein Ineinander von Sicherheit und Gefährdung, von analogem und digitalem Prinzip einzulassen.
    35. Konsequenz für die Sicherheitskultur
      • Der Umgang mit unternehmensbezogenen Sicherheitsmassnahmen ist davon geprägt, wie der einzelne Mitarbeiter das Unternehmen als Ganzes und seine Stellung innerhalb dieser Arbeitsfamilie erlebt.
      • Security und Risk Management entstehen über Kultur und prägen wiederum Kultur aus.
      • So produziert jedes Unternehmen seine individuelle Sicherheitskultur.
    36. Konsequenz für die Sicherheitskultur
      • Diese Sicherheitskultur ist untrennbar mit der jeweiligen Corporate Culture verbunden.
      • Dies hat Konsequenzen für die Ausrichtung jeglicher Kommunikation, die Sicherheit zum Thema hat.
      • Risiken wie entsicherndes Verhalten von Mitarbeitern lassen sich nicht als isolierte, technisch begründete Phänomene verstehen, die es mit allen Mitteln zu beseitigen und verhindern gilt.
      • In jeder Entsicherung kommt also ein Sinn zum Ausdruck.
    37. Awareness als Change-Prozess
    38. Was man tun muss, damit der CEO den CISO mag
      Was erwartest Du? Was erwartet der CEO?Love it – changeit – leaveit
      Sags in den Worten, die er gern hört.Wirtschafliches Wachstum, Ego, Erfolg
      Sei Dir Deiner Strategie sicher, dass sie zum Geschäftserfolg beitragen wird. Be sure your strategy is craftedtosupportbusinessinnovation.
    39. Gartner 2008 CEO Business Strategies
      Quelle: Gartner EXP Worldwide Survey of 1,500 CIOs Shows 85 Percent of CIOs Expect "Significant Change" Over Next Three Years
    40. Verbesserungen oder Innovationen?
      Business improvement:
      Mache die gleichenDingebesser, schneller und billiger.
      Business innovation:
      • Schaffen Sie neue und nachhaltige Kanäle, um mit Kunden, Lieferanten, und Partnern zu interagieren
      • Bezwingen und kreierenSieIhrenMarkt. SchaffenSieauchneueMärkte.
      • Öffnen Sie neue Wege, um einen höheren Umsatz innerhalb eines bestehenden Marktes zu generieren.
      • Seien Sie radikal und setzen Sie sich durch. Der Wettbewerbsdruck ist immens hoch.
      Quelle: Andreas Wuchner, Head IT Risk Management, Security & Compliance
      Novartis, December 2008
    41. Wie werde ich gehört? In dem ich schreie!
      • Reden Sie über Werte nicht Technologien
      • Schauen Sie, das Sie die richtige Mannschaft mit dem notwendigen Know-how haben
      • Sei Unternehmer im Unternehmen
      • Schaffen Sie sich Kontrollmechanismen
      • Bewerten Sie wichtige Geschäftsprozesse
      • Identifizieren Sie kritische Rollen, Prozesse, IT-Assets
      • Dokumentieren und berichten Sie kontinuierlich über mögliche Risiken
      • Nutzen Sie alle guten Chancen und posituven Vorteile
      • Machen Sie Ihr C-Level happy
      Quelle: Andreas Wuchner, Head IT Risk Management, Security & Compliance
      Novartis, December 2008
    42. Zusammenfassung
      • Ehrliche Kommunikation schafft Akzeptanz
      • Authentizität schafft Emotionalität
      • Lebenswelten und Benefits statt Betroffenheit und Angst
      • Positive Kommunikation statt „Erhobener Zeigefinger“
      • These: Think local – act „glocal“ (Lokalisierung)
      • Medieneinsatz muss „State-of-the-art“ sein
      • Weniger ist manchmal mehr
      • Experimente wagen - Anders sein als Andere
      • Erfolge kommunizieren!
      Kundenprojekte sprechen
      eine deutliche Sprache:
    43. Wir schützen vertrauliche Informationen.
      Security Awareness by ISPIN
      Kontakt:
      Marcus Beyer, marcus.beyer@ispin.ch, Twitter: @mbeyer
      Grindelstrasse 15, CH - 8303 Bassersdorf
      Tel. (geschäftl.): +41-44-8383111, Tel. (mobil): +41-79-3078133
    SlideShare Zeitgeist 2009

    + mbeyer1976mbeyer1976 Nominate

    custom

    127 views, 0 favs, 0 embeds more stats

    Über Kommunikationsstrategien von Sicherheitsbeauf more

    More info about this document

    © All Rights Reserved

    Go to text version

    • Total Views 127
      • 127 on SlideShare
      • 0 from embeds
    • Comments 0
    • Favorites 0
    • Downloads 0
    Most viewed embeds

    more

    All embeds

    less

    Flagged as inappropriate Flag as inappropriate
    Flag as inappropriate

    Select your reason for flagging this presentation as inappropriate. If needed, use the feedback form to let us know more details.

    Cancel
    File a copyright complaint
    Having problems? Go to our helpdesk?

    Categories

    Tags

    -->
    What's New

    © 2009 SlideShare Inc. All rights reserved.