Viele IT-Fachkräfte kennen das: Je grösser das Unternehmen, desto wahrscheinlicher ist es, dass gekapselte Komponenten von einem Spezialisten alleine oder einem Spezialisten-Team betreut werden. Das führt leider dazu, dass oft nur sie alleine die Komplexität und Herausforderungen ihrer Aufgaben verstehen. Gute Fachkräfte in der Cyber Security glänzen jedoch nicht nur mit technischem Wissen über ihr Spezialgebiet. Es ist mindestens genauso wichtig – wenn nicht sogar wichtiger –, dass sie Zusammenhänge verstehen und somit die Schnittstellen, mit denen sie täglich zu tun haben. In Teil 1 meiner Blogserie über Fachkräfte in der Cyber Security haben Sie erfahren, wie man gute Mitarbeitende gewinnt, hält und motiviert. Nun erkläre ich Ihnen, was gute Mitarbeitende in der Cyber Security von den Top-Mitarbeitenden unterscheidet.
Unzählige Penetration Tests und die publizierten Breaches der letzten Monate und Jahre beweisen es: Man kann noch so viel Geld in die IT-Sicherheit investieren. Bei falscher Konfiguration hält sie am Schluss trotzdem nicht, was sie verspricht. Umso wichtiger, dass die wichtigste Komponente – Ihre Mitarbeitenden – halten, was sie versprechen.
Eine gute IT-Sicherheitslösung zeichnet sich dadurch aus, dass in jedem Aspekt die drei allgemeinen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit abgedeckt sind.
Diese Schutzziele gelten nicht nur für die Kronjuwelen in Ihrem Unternehmen, sondern vor allem auch für jedes Produkt und jede Lösung, welches zum Beispiel den Zugriff auf Daten ermöglicht oder diese aufbereiten. Oft vergessen gehen dabei Lösungen, welche der Administration der IT dienen oder sogar selber IT Security-Produkte sind. Um die Folgen von schlecht konfigurierten IT Security-Produkten abschätzen zu können, braucht es entweder viel Erfahrung oder ein gutes Vorstellungsvermögen. Deshalb ist es entscheidend, dass Ihre Cyber Security-Spezialisten diese drei Sicherheitsaspekte bei der Arbeit immer im Hinterkopf haben und entsprechend danach handeln.
Gute Cyber Security-Experten beherrschen ihre Produkte und können ihr Wissen im entsprechenden Kontext wie kein zweiter anwenden. Die technisch hochversierten Cyber Security-Experten hingegen verstehen nicht nur für jedes auftretende Problem die 5 «W’s» (What, Why, Where, Who, When), sondern können auch das «How» (Wie ist etwas geschehen) oder das «Which» (Wie wird dies gelöst, z.B. Process, People, Tools) aufzeigen. Mit diesen Grundfragen werden Systeme und die möglichen Schwachstellen auf allen möglichen Ebenen im Design hinterfragt ‒ von den OSI Layern über die Cyber Kill Chain bis hin zum STRIDE-Modell. Anhand dieser identifizierten Lücken entwickelt das «Red Team» Proof of Concepts, um diese Schwachstellen zu demonstrieren. Das «Blue Team» überarbeitet im Anschluss die Architekturen der Lösungen, um entweder das Problem komplett zu lösen, oder aber die Erkennungsmöglichkeiten bei einer Ausnutzung der Schwachstelle zu erhöhen. So können auch in Zukunft Probleme umgangen werden. Die eigenen technischen Fähigkeiten helfen dabei, eine Herausforderung möglichst umfassend zu erkennen – sind aber längst kein Garant für Erfolg!
Um das Potential Ihrer Cyber Security-Experten möglichst auszuschöpfen, sollten Sie in deren Weiterentwicklung investieren – und zwar in solche, die sie auch interessieren. Selbst dann, wenn Sie darin nur einen indirekten Nutzen für Ihr Unternehmen sehen. Denn durch die neuen Perspektiven und das vertiefte Verständnis in einem weiteren Fachgebiet wird es möglich, detailliertere Fragen zu stellen und zu erkennen, wo die technischen Hürden tatsächlich lauern. Die zusätzliche Motivation der Mitarbeitenden, das vernetztere Denken sowie das Know-how über den eigenen Aufgabenbereich hinaus kommen zudem auch Ihnen zugute. Viele Führungskräfte befürchten jedoch genau das Gegenteil. Das ist auch nachvollziehbar, schliesslich sind die meisten Aus- und Weiterbildungen kein Schnäppchen und bedeuten auch Fehlzeiten.
Im Bereich IT Security gibt es inzwischen jedoch unzählige Möglichkeiten zur Aus- und Weiterbildung. Zum einen gibt es Certificates oder Master of Advanced Studies (CAS/MAS), welche oft schon ohne Hochschulabschluss angetreten werden können. Zum anderen auch kurzfristigere Möglichkeiten wie einwöchige Kurse (z.B. bei Digicomp Academy oder SANS), Bootcamps oder kostenlose Online-Kurse (z.B. GitHub oder Open Security Training).
Der wichtigste Faktor, welcher Ihr Unternehmen dazu beisteuern kann, ist Zeit. Denn diese ist für jeden von uns nach wie vor endlich. Aber es lohnt sich! Denn gute Mitarbeitende – Cyber Security-Experten – sind das wichtigste Kapital von heute, und auch von morgen, eines jeden Unternehmens.
…und kommen Sie zu InfoGuard! Wir suchen laufend qualifizierte, motivierte Cyber Security-Experten in den Bereichen Consulting, Engineering und Cyber Defence. Bei uns wird nicht nur gearbeitet, sondern auch gelernt. Mit gezieltem On- und Off-the-Job-Training fördern und fordern wir unsere Mitarbeitenden. Daneben bieten wir ein spannendes Umfeld mit interessanten Projekten und Kunden sowie spezialisierten Cyber Security-Experten, mit denen Sie zusammenarbeiten.
Interessiert? Auf unserer Karriere-Seite finden Sie unsere aktuellen Jobangebote. Nicht das passende dabei? Auch eine Initiativbewerbung kann sich lohnen. Wir freuen uns, von Ihnen zu lesen!