Warum der Fachkräftemangel in der Informationssicherheit für mich eher eine Chance als ein Problem darstellt…
ODER: Warum es sich lohnt, gute Security-Experten selbst auszubilden
Die Sicherheit von Daten und Systemen ist derzeit eine der wichtigsten Herausforderungen für die meisten Unternehmen weltweit. Während viele Organisationen nach externen Fachkräften suchen, um die Herausforderungen in der Informationssicherheit zu meistern, möchte ich einen Ansatz vorstellen, den wir seit ca. 15 Jahren so praktizieren und darlegen, warum wir damit so gute Ergebnisse erzielen.
Not macht erfinderisch.
Als wir vor ca. 15 Jahren, also weit vor DORA und VAIT, erkannt haben, dass eine schlagkräftige Sicherheitsorganisation eine wichtige Investition in die Zukunft ist und entschieden haben das Informationssicherheits Team der Allianz Deutschland massiv zu erweitern war klar, dass ein Wachstum von einer Hand voll Mitarbeiter auf ca. 30- 35 Personen uns sowohl finanziell als auch organisationstechnisch vor große Herausforderungen stellen würde.
Aus dieser Herausforderung heraus haben wir eine Strategie entwickelt, unsere zukünftigen Experten selbst auszubilden und nur an wenigen ausgewählten Schlüsselstellen Experten vom Markt einzustellen , da dies aus unserer Sicht viele Vorteile bündelt.
Zum besseren Verständnis der Ausbildungsstrategie möchte ich zuerst auf die vier KnowHow Säulen eingehen die einen guten Sicherheitsexperten aus meiner Sicht ausmachen:
Zuallererst sollte eine solche Person ein guter IT-Generalist sein, der die aktuellen Technologien, Methoden und Prozesse der Hard- & Software kennt und anwenden kann.
Selbstverständlich ist für die Abwägung der Risiken ein Know-How der Methoden des Risikomanagements, sowie aktueller Vorgaben und Richtlinien der Informationssicherheit unabdingbar.
Darüber hinaus ist es aber aus meiner Sicht extrem wichtig, die technische Vorgehensweise der Angreifer zu kennen. Nur so können auch neue Angriffswege frühzeitig erkannt und zeitnah mit effizienten Gegenmaßnahmen reagiert werden.
Meist unterschätzt wird aus meiner Sicht jedoch die letzte Säule, nämlich die Kenntnis des Unternehmens. Dies bezieht sich sowohl auf technische Implementierungen, wie z.B. Architekturen, Entwicklungstools und Methoden, sowie auf eingesetzte Soft- und Hardware, aber vor allem auch auf die Strategie und die Kultur des Unternehmens. Denn nur so können Sicherheitsmechanismen entwickelt werden, die nicht konträr zu Unternehmenszielen sind und von den Mitarbeitern und Mitarbeiterinnen im Unternehmen auch angenommen werden.
Es gibt keine fertigen Security Experten für Ihre Firma auf dem Markt
Eine Person mit Erfahrungen und WIssen in fast all diesen Bereichen extern vom Markt einzukaufen ist aus meiner Sicht aussichtslos. Gerade der letzte Aspekt zeigt , dass selbst der beste Information Security Spezialisten, den man vom Markt einkaufen könnte, eine gewisse Einarbeitungszeit für ein neues Unternehmen benötigt. Der Zeitaufwand, die Unternehmenskultur und Architekturen und Prozesse in einem neuen Unternehmen zu durchdringen, ist aus meiner Sicht nicht unerheblich.
Die Jugend an die Macht
Wir haben uns damals größtenteils für die Weiterbildung fähiger IT-Absolventen und Studenten entschieden, da wir zum einen im Team junge, sehr gut ausgebildete Mitarbeiter haben, welche selbst Schulungen und Weiterbildungen durchführen, zum anderen aber gerade im Incident Response und SOC Umfeld, durch die Analyse aktueller Incidents, die Lernkurven für interessierte Talente extrem steil verläuft.
Die richtigen Talente mit entsprechend breitem IT-Know-How lassen sich aus meiner Erfahrung am besten durch zielgerichtete und interessante Vorträge an Hochschulen und auf Security-Nachwuchs-Kongressen oder Hacking Events finden. Die restlichen Kompetenzen können dann individuell und je nach Security Rolle im Unternehmen ausgewählt und gemeinsam weiterentwickelt werden. Aber um hier keinen falschen Eindruck entstehen zu lassen, auch ein Hochschul- oder gar bestimmter Schulabschluss sind für uns kein Muss. Ich habe in meinem Arbeitsleben schon viele höchst fähige Hacker kennengelernt, die sehr gut ohne diese formalen Abschlüsse auskommen und eine brillante Arbeit leisten.
Zuletzt gilt es aber auch, mit der Etablierung der Strategie Maßnahmen aufzusetzen, um die nach ein paar Jahren gut ausgebildeten Talente nicht wieder an den Markt zu verlieren. Dies hat nach meiner Erfahrung nur bedingt mit finanziellen Anreizen zu tun. Auch wenn der Verdienst eine gewisse Rolle spielt, so sind es meist andere Beweggründe, wie flexible Arbeitsmöglichkeiten, Mitsprachemöglichkeiten bei Unternehmensentscheidungen (zur Informationssicherheit), Organisationsformen, Arbeitsumgebung und Werkzeuge aber vor allem ein interessantes ständig forderndes Aufgabenfeld, die die jungen Mitarbeiter an ein Unternehmen binden.
Bei der iSecNG GmbH sind wir gerade was Organisation und Entscheidungen im Unternehmen angeht auf einer Reise nach dem Vorbild von @Silke Luinstra AUGENHÖHE Wegbegleiter Ausbildung und versuchen die für uns beste Organisation zu definieren, umzusetzen und ständig weiter zu entwickeln.
Referenzen
Falls Ihnen dieser Blogpost gefallen hat - iSecNG bietet verschiedene Managed und Professional Services im Bereich Defensive- und Offensive-Security. Weitere Informationen finden Sie auf unserer Service-Seite.
16.04.2024, Stephan Gerhager