Ein Großteil dieser Diskrepanz entsteht in den ersten hundert Tagen des CISOs. Viele Sicherheitsentscheider treten ihre neue Stelle mit vorgefassten Meinungen an, die manchmal schon beim Vorstellungsgespräch entstanden sind. Dinge, die woanders funktioniert haben, Leib-und-Magen-Themen, -Anbieter oder -Berater. Viele haben außerdem den Drang, sich in den ersten hundert Tagen als Spezialisten zu beweisen. Das ist ein Fehler. Kompetenz wird in den ersten hundert Tagen vorausgesetzt (schließlich wurden Sie ja gerade erst eingestellt). Die Herausforderungen liegen woanders: Es geht darum, Ihre Fähigkeit unter Beweis zu stellen, sich in die Organisationsstruktur des Unternehmens einzufügen und als Führungskraft zu agieren.
Meiner Meinung nach beginnt das damit, zuzuhören. Zum Beispiel den Stakeholdern und Sponsoren, um deren Erwartungen und Pain Points zu verstehen. Oder das, was beim Vorgänger funktioniert hat und was nicht. Dieser Prozess sollte den Beginn markieren für die gemeinschaftliche Entwicklung einer Cybersicherheitsstrategie. Wenn Ziele mit den Stakeholdern und Sponsoren geteilt werden, reduziert das auch Reibungsverluste. Daraus können mit der Zeit Business Champions entstehen, die die Cybersicherheitsstrategie vorleben und weitergeben. Und zwar nicht, weil es die des CISO ist, sondern ihre eigene.
CISOs sollten in den ersten hundert Tagen außerdem in die Governance- und Führungsdynamik des Unternehmens eingebunden werden. Nur Sicherheitsentscheider, die die kulturellen Strömungen im gesamten Unternehmen identifizieren und verfolgen, erlangen Zugang zu den informellen Vertrauensnetzwerken, in denen die tatsächlichen Entscheidungen getroffen werden. Budget-Diskussionen sind ab diesem Punkt deutlich weniger konfrontativ – sie entwickeln sich mehr zu einem gegenseitigen Austausch zwischen vertrauenswürdigen Partnern. Umgekehrt laufen CISOs, die ihre ersten hundert Tage damit verbringen, sich technisch zu beweisen, Gefahr, in einem Teufelskreis aus operativen Feuerwehreinsätzen gefangen zu bleiben. Und aus dieser Situation gibt es oft kein Entkommen mehr. Am Ende mögen Sie zwar als zuverlässige Kraft angesehen werden, aber es ist unwahrscheinlich, dass Sie so einen Platz am “Strategietisch” erhalten.
