Der CISO, das unbekannte Wesen …

Ein CISO hat viele Aufgaben. Wie eine CISO Position in einem Unternehmen konkret ausgestaltet ist, hängt meist von dem konkreten Unternehmen selbst ab. Ein wesentlicher Teil ist meist das Betreiben eines Information Security Management Systems. Diese und eine Vielzahl von weiteren Aufgaben nehmen in der Regel sehr viel Zeit in Anspruch.

Für Unternehmen ist es sehr schwierig, einen passenden Kandidaten zu finden. Für kleinere noch schwieriger als für große und etablierte. Die Gründe dafür sind vielfältig. Diese reichen von der aktuellen Bewerbersituation bis hin zu dem Punkt, dass ein kleineres Unternehmen eventuell gar keine Vollzeitstelle dafür benötigt. Auch die Bewerbersituation ist aus unserer Erfahrung aus zwei Gesichtspunkten schwierig. Der passende Kandidat muss sich für das Unternehmen interessieren und bewerben. Wenn das passiert ist und man sich einigen konnte, ist die Ernüchterung meistens an einem Punkt extrem groß – und zwar wenn der Gehaltswunsch auf den Tisch kommt.

Es gibt in dieser Situation dann nur zwei Möglichkeiten:

  1. Man akzeptiert die Forderung und bekommt einen passenden Kandidaten ins Team
  2. Man ist nicht bereit, die Forderung zu akzeptieren und ist genauso weit wie vorher

Ein Leben ohne CISO?

Aber was, wenn kein CISO verfügbar ist? Unserer Erfahrung nach versuchen Unternehmen sich selbst zu beruhigen und stellen einfache Thesen auf:

  1. Wir sind so klein, nicht interessant, etc. Wer will bei uns schon Schaden anrichten?
  2. Wir haben nichts, was schützenswert ist!

Die Realität sieht anders aus. Egal wie klein oder groß das Unternehmen, egal wie groß der Glaube ist, es gäbe nichts zu schützen, wenn Sie mal eine Woche ohne Ihre Daten oder Computer auskommen müssen, sehen sie das sehr schnell anders. Von Erpressungen und Datenverlust oder öffentlichem Reputationsverlust ganz zu schweigen.

Diese und einige Gründe mehr führen dazu, dass ujima genau hier mit einem Service Modell ansetzt. Unsere Kollegen sind seit vielen Jahren in der Beratung und in Unternehmen mit dem Thema Information Security beschäftigt und verfügen über eine ausgewiesene Expertise, wenn es um Themen wie Information Security Management Systeme, Business-Continuity, Threat Monitoring, Risiko Analyse und vieles mehr geht. Dieses erfahrene Team und ein ausgeprägtes Netzwerk hilft Ihnen, Probleme zielsicher zu analysieren und zu lösen.

Aus diesem Grund stellen wir diese Expertise im Rahmen eines „CISO-as-a-Service-Modell“ Kunden zur Verfügung. Unsere Kunden profitieren davon, einen Ansprechpartner zu offenen Fragestellungen zu bekommen, ohne einen Kollegen fest im Team zu haben. Der CISO as a Service kann in speziellen Punkten mit Fachwissen oder mit zeitlicher Kapazität flexibel unterstützen.

Wer profitiert von einem CISO as a Service- Modell

Was ist ein „CISO-as-a-Service-Modell“? Wie immer: Das Kind hat viele Namen. Egal ob man es CISO-as-a-Service, Virtual CISO oder Interims CISO nennt, gemeint ist immer das gleiche.
Kunden, die davon profitieren und nachhaltig Mehrwert daraus ziehen, kommen meist aus folgenden Bereichen:

  • Start-Ups und schnell wachsende Unternehmen, welche Ressourcen Engpässe haben oder keine ganze Stelle benötigen
  • Organisationen, die auf dem Weg von einem CISO zu nächsten sind
  • Kleine und mittlere Unternehmen, welche eine Security Roadmap entwickeln und umsetzen wollen, aber keinen CISO haben
  • Unternehmen, die Unterstützung im Rahmen eines Interims-Mandates suchen oder eine Stellvertreter-Regelung umsetzen wollen

Wovon profitieren unsere Kunden

Kunden nehmen sowohl sehr kurzfristige Beratungslösungen in Anspruch oder bauen mit uns langfristige Partnerschaften auf. Expertise in folgenden Themen werden von unseren Kunden als Mehrwert gesehen:

  • Implementation und Betrieb eines Information Security Management System
  • Entwicklung Optimierung von Sicherheits-Leitlinien und Prozessen
  • Überwachung der Sicherheitsstandards (ISO 27001, BSI, NIST, etc.)
  • Entwicklung und Umsetzung Security Roadmap und Projektportfolio
  • Aufbau oder Weiterentwicklung von internen Security Teams oder der IT Teams
  • Reifegradbestimmung und Entwicklung über Zeit
  • Risiko Analysen
  • Bereitstellung von Fachwissen für die Umsetzungen technischer Maßnahmen (Architektur, Integration, Automation, etc.)
  • Unterstützung der Geschäftsleitung, der Business-Seite und von IT-Abteilungen in Sicherheitsfragen
  • Coaching junger Kollegen auf dem Weg in die CISO Rolle
  • Übergangweise Führung der CISO Organisation
  • Einarbeitung neuer Kollegen
  • Unterstützung bei Incidents und Response sowie Forensik
  • Reporting der aktuellen Sicherheitslage