ODER: Warum es sich lohnt, gute Security-Experten selbst auszubilden.
Die Sicherheit von Daten und Systemen stellt derzeit eine der wichtigsten Herausforderungen für die meisten Unternehmen weltweit dar. Während viele Organisationen nach externen Fachkräften suchen, um die Herausforderungen in der Informationssicherheit zu meistern, möchte ich einen Ansatz vorstellen, den wir seit ca. 15 Jahren praktizieren und darlegen, warum wir damit so gute Ergebnisse erzielen.
Not macht erfinderisch.
Als wir vor circa 15 Jahren, also weit vor DORA und VAIT, erkannt haben, dass eine schlagkräftige Sicherheitsorganisation eine wichtige Investition in die Zukunft ist und entschieden haben, das Informationssicherheits-Team der Allianz Deutschland massiv zu erweitern, war klar, dass ein Wachstum von einer Handvoll Mitarbeiter auf circa 30–35 Personen uns sowohl finanziell als auch organisatorisch vor große Herausforderungen stellen würde.
Aus dieser Herausforderung heraus haben wir eine Strategie entwickelt, unsere zukünftigen Experten selbst auszubilden und nur an wenigen ausgewählten Schlüsselstellen Experten vom Markt einzustellen, da dies aus unserer Sicht viele Vorteile bündelt.
Zum besseren Verständnis der Ausbildungsstrategie möchte ich zuerst auf die vier KnowHow-Säulen eingehen, die einen guten Sicherheitsexperten aus meiner Sicht ausmachen:
- Zuallererst sollte eine solche Person ein guter IT-Generalist sein, der die aktuellen Technologien, Methoden und Prozesse der Hard- & Software kennt und anwenden kann.
- Selbstverständlich ist für die Abwägung der Risiken ein Know-How der Methoden des Risikomanagements sowie aktueller Vorgaben und Richtlinien der Informationssicherheit unabdingbar.
- Darüber hinaus ist es aus meiner Sicht extrem wichtig, die technische Vorgehensweise der Angreifer zu kennen. Nur so können auch neue Angriffswege frühzeitig erkannt und zeitnah mit effizienten Gegenmaßnahmen reagiert werden.
- Meist unterschätzt wird aus meiner Sicht jedoch die letzte Säule: die Kenntnis des Unternehmens. Dies bezieht sich sowohl auf technische Implementierungen wie Architekturen, Entwicklungstools und Methoden sowie auf eingesetzte Soft- und Hardware, aber vor allem auch auf die Strategie und die Kultur des Unternehmens. Denn nur so können Sicherheitsmechanismen entwickelt werden, die nicht konträr zu Unternehmenszielen sind und von den Mitarbeitern auch angenommen werden.
Es gibt keine fertigen Security-Experten für Ihre Firma auf dem Markt.
Eine Person mit Erfahrungen und Wissen in fast all diesen Bereichen extern vom Markt einzukaufen ist aus meiner Sicht aussichtslos. Gerade der letzte Aspekt zeigt, dass selbst der beste Information Security Spezialist, den man vom Markt einkaufen könnte, eine gewisse Einarbeitungszeit für ein neues Unternehmen benötigt. Der Zeitaufwand, die Unternehmenskultur sowie Architekturen und Prozesse in einem neuen Unternehmen zu durchdringen, ist nicht unerheblich.
Die Jugend an die Macht.
Wir haben uns damals größtenteils für die Weiterbildung fähiger IT-Absolventen und Studenten entschieden, da wir zum einen im Team junge, sehr gut ausgebildete Mitarbeiter haben, welche selbst Schulungen und Weiterbildungen durchführen. Zum anderen verläuft gerade im Incident Response und SOC-Umfeld, durch die Analyse aktueller Incidents, die Lernkurve für interessierte Talente extrem steil.
Die richtigen Talente mit entsprechend breitem IT-Know-How lassen sich aus meiner Erfahrung am besten durch zielgerichtete und interessante Vorträge an Hochschulen und auf Security-Nachwuchs-Kongressen oder Hacking Events finden. Die restlichen Kompetenzen können dann individuell und je nach Security-Rolle im Unternehmen weiterentwickelt werden. Auch ein Hochschul- oder gar bestimmter Schulabschluss sind für uns kein Muss – ich habe in meinem Arbeitsleben schon viele höchst fähige Hacker kennengelernt, die sehr gut ohne diese formalen Abschlüsse auskommen und brillante Arbeit leisten.
Zuletzt gilt es, mit der Etablierung der Strategie Maßnahmen aufzusetzen, um die nach ein paar Jahren gut ausgebildeten Talente nicht wieder an den Markt zu verlieren. Dies hat nach meiner Erfahrung nur bedingt mit finanziellen Anreizen zu tun. Auch wenn der Verdienst eine gewisse Rolle spielt, sind es meist andere Beweggründe, die junge Mitarbeiter an ein Unternehmen binden: flexible Arbeitsmöglichkeiten, Mitsprachemöglichkeiten bei Unternehmensentscheidungen zur Informationssicherheit, Organisationsformen, Arbeitsumgebung und Werkzeuge – aber vor allem ein interessantes, ständig forderndes Aufgabenfeld.
Bei der iSecNG GmbH sind wir, was Organisation und Entscheidungen im Unternehmen angeht, auf einer Reise nach dem Vorbild von AUGENHÖHE und versuchen die für uns beste Organisation zu definieren, umzusetzen und ständig weiterzuentwickeln.
Kontaktanfrage
Terminanfrage