Direkt zum Inhalt

Die unbekannten Unbekannten der Cybersicherheit angehen

Karin D'Amico, ehemalige Corporate Information Security Officer bei Givaudan

Global Cyber-Crime Warrior
 

Der ehemalige US-Verteidigungsminister Donald Rumsfeld sagte bekanntlich: "Es gibt unbekannte Unbekannte - die, die wir nicht kennen, die wir nicht kennen. Und wenn man sich die Geschichte unseres Landes und anderer freier Länder anschaut, sind es die letzteren, die am schwierigsten sind." In der Cybersicherheit scheint es mehr unbekannte Unbekannte zu geben als in jedem anderen Bereich. Und obwohl dies heute allgemein bekannt zu sein scheint, wäre diese Aussage vor 20 Jahren - als es noch keine Sicherheitsabteilungen oder gar Abschlüsse in Cybersicherheit gab - vielleicht nicht so weit verbreitet gewesen. Karin, ehemalige Corporate Information Security Officer bei Givaudan, gehörte zu denjenigen, die diesen Aspekt der Cybersicherheit schon früh zu schätzen wussten und ihre Karriere in diesem Sinne erfolgreich aufgebaut haben.

"Alles begann, als ich als Verwaltungsassistentin arbeitete und mein Chef sah, dass ich hungrig nach neuen Herausforderungen war. Er sah auch, dass ich ein besonderes Interesse an IT hatte, also begann er, mir mehr Aufgaben in diesem Bereich zu übertragen und ermutigte mich, eine Stelle als IT-Support Manager anzutreten. Ein paar Jahre später erwarb ich ein Diplom in IT-Projektmanagement, während ich als Berater für Givaudan arbeitete.

Zu Beginn meiner IT-Karriere als Netzwerk- und Serveringenieur stand das Thema Sicherheit bei keinem Unternehmen ganz oben auf der Prioritätenliste; das Thema Sicherheit war damals die Jagd auf einige der ersten Viren. Mit der Zeit kamen nach und nach Sicherheitsprojekte mit grösserem Umfang und höherem Anspruch hinzu. Aufgrund meiner Erfahrung im Projektmanagement und in der IT-Infrastruktur wurde mir die Verantwortung für die Leitung des ersten globalen Sicherheitsprojekts von Givaudan übertragen, bei dem es um die Einrichtung eines unternehmensweiten Antiviren-Systems ging. Es ist erstaunlich, dass es damals noch nicht üblich war, ein solches Antivirensystem zu haben! Nach diesem Projekt und als der Bedarf von Givaudan an Sicherheitsexperten exponentiell anstieg, wuchsen auch mein Interesse und meine Kompetenzen in diesem Bereich.

Als ich nach der Geburt meines zweiten Kindes im Mutterschaftsurlaub war, erhielt ich einen Anruf von meinem Chef, dem damaligen CISO von Givaudan. Er hatte die grossartige Gelegenheit erhalten, an einem grossen Integrationsprojekt zu arbeiten und fragte mich, ob ich bereit wäre, seine Nachfolge anzutreten, was ich natürlich bejahte. Als ich in dieser neuen Rolle anfing, beschloss ich, ein Studium der Sicherheit von Informationssystemen zu absolvieren, um meine in diesem Bereich erworbenen Kenntnisse durch die Arbeit an Sicherheitsinitiativen zu erweitern."

Da sie von Anfang an aktiv im Sicherheitsteam von Givaudan mitwirkte, gehörte sie zu denjenigen, die diese Tatsache schon früh zu schätzen wussten und eine äusserst wirksame Bewältigungsstrategie entwickelten, die auf drei Säulen beruht: kontinuierliche Verbesserung, Kenntnis des Geschäfts und starker Fokus auf die Interessengruppen.

Ein Schritt nach dem anderen
 

Cybersicherheit ist ein Wettrüsten. Um in diesem Bereich mit dem Tempo der Veränderungen Schritt zu halten, ist eine kontinuierliche Verbesserung erforderlich:

"Sie müssen sich die Zeit nehmen, um herauszufinden, was für Ihr Unternehmen am wichtigsten ist, und dessen Reifegrad Schritt für Schritt verbessern."

Auf diese Weise hat Karin Givaudan in 10 Jahren zu einem Unternehmen mit einem umfassenden und kohärenten Cybersicherheitsprogramm gemacht.

Sie kennen Ihr Geschäft in- und auswendig

Um ein Geschäft abzusichern, muss man sich in diesem Bereich sehr gut auskennen.

"Sie müssen das Unternehmen aus verschiedenen Blickwinkeln und Perspektiven kennenlernen".

Das Unternehmen zu kennen bedeutet auch, seine Mitarbeiter und ihre Arbeitsweise zu verstehen. Karin erinnert sich gerne daran, wie sie lernte, ihre Schweizer Mentalität - wo pünktlich zu sein bedeutet, fünf Minuten zu früh zu sein - an einen internationaleren Ansatz anzupassen. Für Karin ist es auch wichtig, bei der Implementierung neuer Prozesse und Tools den Reifegrad und die Risikobereitschaft des Unternehmens zu berücksichtigen. Sie argumentiert:

"Die neueste Technologie ist nicht unbedingt die beste. Ich stelle diese Überlegungen immer in den Kontext des Unternehmens, der Branche und der Menschen, bevor ich eine wichtige Entscheidung treffe.

Investieren Sie Zeit, um wichtige Stakeholder ins Boot zu holen
 

"Sicherheit ist eine Gemeinschaftsaufgabe; sie ist nicht nur das Problem des IT- oder Sicherheitsteams. Es ist wichtig, dass jeder das versteht".

In jedem Unternehmen ist es nicht verwunderlich, dass die Mitarbeiter nicht wollen, dass ihre täglichen Aufgaben und kreativen Prozesse dadurch unterbrochen werden, dass sie ihre Passwörter dreimal eingeben müssen. Es ist also wichtig, dies zu verstehen und die richtige Lösung zu finden, um die Sicherheit des Unternehmens zu gewährleisten und gleichzeitig den Mitarbeitern eine gute Erfahrung zu bieten.

Was wir von Karin lernen können, ist, dass CISOs eine unternehmensweite Verantwortung haben. Sie sind für den Aufbau der Lebensader ihrer Organisation verantwortlich: die Tools und Prozesse, die sie auf lange Sicht sicher machen werden. Letztlich können die Verantwortlichen für Cybersicherheit die Zukunft nicht vorhersagen, aber Karin ist das perfekte Beispiel dafür, dass Vorbereitung das Nächstbeste ist:

"Niemand wird als Experte geboren; aber wer sich anstrengt, wird belohnt."

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback

Wenn Sie helfen möchten, Deloitte.com weiter zu verbessern, füllen Sie bitte ein 3-minütige Umfrage aus