0:00:01.6 Max Havey: Hallo und willkommen zu einer weiteren Ausgabe von Security Visionaries, einem Podcast rund um die Welt der Cyberdaten und der technischen Infrastruktur, der Experten aus der ganzen Welt und aus allen Bereichen zusammenbringt. Ich bin Ihr Gastgeber, Max Havey, und heute sprechen wir mit unserem Gast, Jadee Hanson, CISO bei Vanta, über die Rollen von CIO und CISO. Jadee, willkommen in der Show.
0:00:21.2 Jadee Hanson: Danke, dass ich hier sein darf.
0:00:22.4 Max Havey: Können Sie uns zum Einstieg etwas über Ihren beruflichen Werdegang erzählen? Ich weiß, dass Sie im Laufe der Jahre für zahlreiche Unternehmen gearbeitet und viele unterschiedliche Führungspositionen im Bereich Sicherheit innegehabt haben. Können Sie uns ein wenig Hintergrundwissen geben?
0:00:31.8 Jadee Hanson: Darauf können Sie wetten. Ja. Ich habe schon ziemlich jung mit Cyber angefangen. Ob Sie es glauben oder nicht, ich habe tatsächlich an meiner Highschool mit der Cyber-Arbeit begonnen und für den Technologiekoordinator meiner Highschool gearbeitet. Wir haben ganz unterschiedliche Dinge für die Schule gemacht. Er ließ mich Computer zusammenbauen, um Geld für unseren Schulbezirk zu sparen, was für mich sozusagen der Einstieg in die Welt der Technik und der Cyberwelt war. Ich begann meine Karriere bei Deloitte mit Penetrationstests und Sicherheitsprüfungen und übernahm zu diesem Zeitpunkt meine erste Führungsposition. Anschließend wechselte ich zur Target Corporation, wo ich beschloss, jede Funktion des dortigen Cyber-Teams zu übernehmen. Als ich schließlich zu dem Schluss kam, dass ich nicht mehr so viel reisen wollte und eher eine Start-up-Funktion übernehmen wollte, wechselte ich zu Code 42. Bei Target bekam ich einen Einstieg in die Startup-Welt, da ich für einige der von Target Corp. aufgekauften Unternehmen eine Menge Due-Diligence-Prüfungen durchgeführt habe.
0:01:35.0 Jadee Hanson: Als ich bei Target war, haben wir tatsächlich ein paar kleine Technologieunternehmen aus dem Silicon Valley gekauft. Auf diese Weise bekam ich einen kleinen Einblick in die Startup-Welt und genoss die Kultur der Startup-Welt und ihre Schnelligkeit sehr. Ich beschloss, bei Code 42 einzusteigen und war bei Convery Two etwa acht Jahre lang in der Rolle des CIO/CISO tätig und wechselte dann vor Kurzem zu Vanta. Und Vanta ist auch ein Unternehmen für Sicherheitssoftware und wir entwickeln wirklich ein Produkt, das die Art und Weise verändert, wie Menschen über den Governance-Risiko- und Compliance-Bereich eines Sicherheitsprogramms denken.
0:02:18.6 Max Havey: Absolut. Ich weiß, dass Sie in Ihrer früheren Position davon gesprochen haben, sowohl die Rolle des CIO als auch die des CISO innezuhaben. Können Sie uns etwas darüber erzählen, wie es war, in dieser Doppelrolle sowohl auf der Technologie- als auch auf der Sicherheitsseite zu agieren? Ich weiß, dass es sich dabei oft um gegensätzliche Kräfte handeln kann. Können Sie uns ein wenig darüber erzählen, wie das funktioniert hat?
0:02:34.7 Jadee Hanson: Ja, ich denke, viele Zuhörer wissen wahrscheinlich, dass CIOs sozusagen immer Investitionen in neue Technologien vorantreiben, während die Rolle des CISO darin besteht, vorsichtig die Risiken neuer Technologien anzusprechen. Mein Running Gag lautete also, dass ich in beiden Rollen zwar jeden Tag mit mir selbst streiten konnte, aber die CIO-Rolle – und die CIO-Rolle, die ich innehatte – ist eigentlich eine strategische Führungsrolle im Unternehmen. Und ich glaube, so hat mich mein Chef gesehen, als ich bei Code 42 das Sicherheitsteam leitete. Während meiner Tätigkeit als CISO bei Code 42 berichtete ich direkt an unseren CEO und hatte die Möglichkeit, an vielen strategischen Geschäftsentscheidungen mitzuwirken. Und ich glaube, mein damaliger Vorgesetzter sah in mir mehr als nur eine Führungskraft im Cyberspace und erkannte, dass ich einen ausgeprägten Geschäftssinn hatte, und das war es, was mir letztendlich die Rolle des CIO einbrachte. Und ich denke, dass sich die Rollen des CIO und des CISO eher ähneln als unterscheiden – beides Führungsrollen in einem Unternehmen. Und in dieser Hinsicht sollte der Schwerpunkt in beiden Rollen auf einem ausgeprägten Geschäftssinn und einer ausgeprägten Fähigkeit zur Risikobewertung liegen, um sicherzustellen, dass Sie die richtigen Technologieentscheidungen für das Unternehmen treffen.
0:04:01.5 Max Havey: Ich glaube, meine Frage war vielleicht ein wenig voreilig, aber sind Sie bei der Übernahme dieser beiden Rollen auf gegensätzliche Kräfte gestoßen? So wie Technologieteams oft versuchen, die Leistung zu optimieren, oder Sicherheitsteams versuchen, dafür zu sorgen, dass entsprechende Kontrollen vorhanden sind? Sind Sie auf derartige Probleme gestoßen, als Sie diese beiden Rollen gleichzeitig ausgeübt haben?
0:04:19.9 Jadee Hanson: Ja, ich meine, ich denke, es geht um Kompromisse, es geht zu 100 % um Kompromisse und darum, jede Technologieentscheidung anhand einer Kosten-Nutzen-Analyse und einer Risiko-Ergebnis-Analyse zu verstehen und zu bewerten, um wirklich die beste Entscheidung zu treffen und beide Rollen direkt an mich berichten zu lassen. Ich denke, das hat sicherlich dabei geholfen, diese Lücke bei Code 42 und auch bei Vanta zu schließen. Die IT-Teams berichten direkt an mich, und ich denke, es ist ein Modell, das heute viele CISOs in kleineren Unternehmen anwenden und das meiner Meinung nach wirklich gut funktioniert. Wenn Sie die Rolle des CISO richtig ausfüllen, versuchen Sie letztendlich, Geschäftsinitiativen zu identifizieren, die den Erfolg des Unternehmens vorantreiben. Dies unterscheidet sich eigentlich nicht groß von der Rolle des CIO selbst. Und wenn Sie die CISO- und CIO-Funktion zusammenarbeiten können, um die vereinbarten Geschäftsziele zu erreichen, leisten die Ihnen unterstellten Teams meiner Meinung nach hervorragende Arbeit, wenn sie zusammenarbeiten, um gemeinsame Ergebnisse zu erzielen.
0:05:27.8 Max Havey: Absolut. Und in diesem Sinne: Auf welche Strategien sind Sie bei Ihrer Doppelrolle gestoßen und würden Sie anderen CISOs empfehlen, die diese Lücke auch innerhalb ihrer Organisation schließen möchten? Welche Strategien oder Ratschläge würden Sie ihnen diesbezüglich geben?
0:05:40.3 Jadee Hanson: Ja. Ich denke, eine der wirkungsvollsten Strategien, die ich innerhalb der Teams vorangetrieben habe, ist das Konzept integrierter Prozesse. Es gibt also viele unterschiedliche gewünschte Ergebnisse, die die Beteiligung von Sicherheit und IT erfordern, und durch die Entwicklung eines gemeinsamen Prozesses zur Erzielung der Ergebnisse kommen die Teams wirklich zusammen. Es geht im Wesentlichen darum, wie ich bereits sagte, gemeinsame Ziele zu finden, sodass jedes Team dem Endergebnis bzw. dem endgültigen Erfolg verpflichtet ist. Ein einfaches Beispiel wäre ein Zero-Day-Patching-Prozess. Die Sicherheitsabteilung hat sicherlich ein begründetes Interesse daran, dass Patches und Updates bereitgestellt und fertiggestellt werden, muss sich dabei aber unbedingt auf die IT verlassen können. Durch die Implementierung eines Rahmens und Prozesses, an dem beide Parteien beteiligt sind und für das Endergebnis zur Verantwortung gezogen werden, können Sie feststellen, dass die Teams viel enger zusammenarbeiten.
0:06:38.8 Max Havey: Absolut. Diese gleiche Verantwortlichkeit, ich denke, bereichsübergreifende Funktionalität ist ein Wort, das in diesem Zusammenhang auch oft verwendet wird. Und letzte Saison drehte sich unser Thema um die Idee der Sicherheit als Mannschaftssport. Und ich denke, dass dies auf diese Weise zusammenzubringen und auf diese gemeinsamen Ziele hinzuarbeiten eine großartige Möglichkeit ist, Sicherheit und Infrastruktur als Mannschaftssport zu betrachten.
Max Havey: Auf jeden Fall. Es handelt sich um die gleiche Art von funktionsübergreifendem Denken und Arbeiten, während man gleichzeitig unabhängig arbeitet und einen Weg findet, diese Dinge zusammenzubringen, damit man dies auf die bestmögliche Weise tun und das bestmögliche Ergebnis erzielen kann.
0:06:55.0 Jadee Hanson: Ja, absolut. Wir üben größtenteils Einfluss aus, ohne Autorität auszuüben, und versuchen daher, jeden für die Sicherheit zur Verantwortung zu ziehen. Und ich sage der Vanta-Organisation oft: „Sicherheit ist jedermanns Verantwortung und erfordert wirklich die Beteiligung aller.
0:07:14.1 Max Havey: Sie haben ja auch jahrelange Erfahrung als CIO. Wie beeinflusst das Ihre Herangehensweise an Ihre Rolle als CISO?
0:07:21.0 Jadee Hanson: Ja, ich komme noch einmal auf das Konzept zurück: Die Rolle des CISO ist eigentlich eine strategische Führungsrolle innerhalb der Organisation. Wir wollen das Beste für das Unternehmen und wir wollen die besten Geschäftsergebnisse. Und das ist in keiner Weise anders als die Rolle des CIO. Wenn ich an die Rolle des CIO denke, bestand meine bisherige Aufgabe darin, die richtige Technologie für das Unternehmen auszuwählen, sicherzustellen, dass wir die richtigen Kompromisse eingingen und sicherzustellen, dass wir finanziell verantwortlich handelten. In meiner heutigen Rolle als CISO sind IT-Elemente integriert, aber sie ist insofern sehr ähnlich, als dass ich aus der Sicherheitsperspektive an den richtigen Stellen Einfluss nehmen möchte, damit wir die richtigen Geschäftsergebnisse erzielen. Ich möchte sicherstellen, dass wir die richtigen Sicherheitspraktiken anwenden, um sicherzustellen, dass das Ereignis keinerlei Nebeneffekte hat. Und deshalb sehe ich darin keinen wirklich großen Unterschied. Ich denke, dass viele der Führungspositionen in einem Unternehmen ihr Fachgebiet haben, aber letzten Endes geht es wirklich darum, strategische Entscheidungen zu treffen, um das Geschäft positiv zu beeinflussen.
0:08:34.8 Max Havey: Absolut. Bis zu einem gewissen Grad finden Sie Möglichkeiten, diese Entscheidungen unabhängig von Ihrer Rolle zu treffen. Ob Sie nun CISO oder CIO sind, Sie treffen immer noch diese Entscheidungen auf Geschäftsebene und tragen dazu bei, das Geschäft als Ganzes zu unterstützen, unabhängig davon, ob Sie über Sicherheit oder Technologie oder eine Mischung aus beidem sprechen.
0:08:50.5 Jadee Hanson: Ja, absolut.
0:08:53.8 Max Havey: Ein Wort, das Sie immer wieder sagen und auf das ich hier irgendwie doppelklicken möchte. Wenn Sie über die Idee sprechen, zwischen all diesen verschiedenen Teams Einfluss zu erzeugen und funktionsübergreifend zu arbeiten, wie können Sie diesen Einfluss erzeugen, um den Leuten zu helfen, die Bedürfnisse beispielsweise eines Technologieteams oder eines Sicherheitsteams besser zu verstehen, damit sie erkennen, warum dies eine wichtige Sache ist, die sie ernst nehmen sollten?
0:09:11.0 Jadee Hanson: Ja, ich denke, viel davon hat mit der Herangehensweise zu tun. Wenn ich also über unsere Arbeitsweise bei Vanta nachdenke, legen wir großen Wert auf die Grundsätze der Ansprechbarkeit, der Partnerschaft und der Zusammenarbeit. Wir sind sicher nicht die Abteilung „Nein“, sondern die Abteilung „Kommen Sie mit einem Problem zu uns und lassen Sie uns helfen, das beste Ergebnis für die Organisation zu erzielen“. Ich denke, dass wir mit einem solchen Ansatz in der gesamten Organisation letztlich die richtige Wirkung erzielen. Ich komme noch einmal auf die Tatsache zurück, dass wir tatsächlich Einfluss nehmen, ohne Autorität auszuüben. Nicht in jeder Organisation haben wir das Sagen. Zu unseren wichtigsten Aufgaben gehört es daher, die richtigen Einflussnehmer in die Organisation zu bringen, ihnen die richtigen Bildungsaspekte zu vermitteln, die sie brauchen, und sicherzustellen, dass wir uns die Zeit nehmen, das Warum zu erklären. Nicht jeder sieht, was wir in der Außenwelt sehen. Nehmen Sie sich also die Zeit, um sicherzustellen, dass sie verstehen: Dies sind die Bedrohungen, die wir von außen sehen und die sich auf Ihr Handeln auswirken können. Und wir beschreiben das, damit wir nicht einfach hereinkommen und sagen, dass es so und so gemacht werden muss, sondern wir bilden in diesem Zusammenhang wirklich aus.
0:10:28.7 Max Havey: Dieser Bildungsaspekt scheint besonders wichtig, da wir darüber sprechen, dass CISOs in den Vorstandsetagen immer häufiger vorkommen und häufiger mit Führungskräften der höheren Ebene innerhalb eines Unternehmens sprechen. Ich denke, dass der Schlüssel zu all dem darin besteht, Menschen zu beeinflussen und zu unterrichten, die keine technischen Kenntnisse haben, die nicht über den entsprechenden Sicherheits- oder Technologiehintergrund verfügen, um ihnen beim Verständnis zu helfen.
0:10:48.6 Jadee Hanson: Ja, absolut. Unsere Aufgabe besteht darin, die uns bekannten Konzepte zu übernehmen und sie in eine Art Geschäftssprache auf höherem Niveau umzusetzen, die für sie eine gewisse Wirkung entfaltet. Wie könnte sich dies beispielsweise auf Ihre endgültigen Ziele auswirken?
0:11:05.3 Max Havey: Auf jeden Fall. Und wenn wir etwas weiter in die Zukunft blicken, wird häufig über die Idee der Konvergenz gesprochen, wenn es um die Rollen von CISOs und CIOs geht. Wie sehen Ihre Visionen für die Zukunft dieser Rollen aus? Welche Veränderungen erwarten Sie in den nächsten Jahren im Hinblick auf die Technologieseite der CISO-Rolle?
0:11:27.3 Jadee Hanson: Lassen Sie mich zunächst auf die Konvergenz der Rollen des CIO und des CISO eingehen. Ich denke, dass in vielen kleineren und mittelgroßen Unternehmen letztendlich die Verantwortung dafür beim CISO liegen wird. Man könnte also fast behaupten, dass es sich um eine Art kombinierte Rolle ohne den CIO-Aspekt handelt. Ich denke, dass die beiden Organisationen in größeren Unternehmen auch weiterhin weitgehend getrennt bleiben werden. Allerdings sehe ich eine Welt, in der diese beiden Organisationen sehr eng Hand in Hand arbeiten und im Hinblick auf die Zukunft der CISO-Rolle in den kommenden Jahren als eher gleichberechtigt angesehen werden. Ich denke, man sollte nicht vergessen, dass die Rolle des CISO noch eine relativ neue Rolle auf Führungsebene ist. Daher gehe ich davon aus, dass es im weiteren Verlauf ständig zu Änderungen kommen wird. Dennoch denke ich, dass in den nächsten Jahren zwei wesentliche Veränderungen auf uns zukommen werden. Die erste ist eine größere strategische Bedeutung bzw. eine größere Verantwortung innerhalb der Organisation.
0:12:33.5 Jadee Hanson: CISOs werden in einem Unternehmen immer mehr nicht mehr nur als Technologieführer angesehen, sondern vielmehr als eine der strategischen Führungspersönlichkeiten des Unternehmens, die zusammen mit dem Rest des Führungsteams ein gemeinsames Interesse an positiven Geschäftsergebnissen haben. Ich denke, das ist eine große Veränderung gegenüber dem, was wir in der Vergangenheit erlebt haben. CISOs spielen zunehmend eine integrale Rolle bei der Gestaltung der Geschäftsstrategie, indem sie die richtigen Risiken ausbalancieren und dann mit dem Wachstum des Unternehmens für Widerstandsfähigkeit sorgen. Und auf Unternehmensebene sehen wir, dass diese erhöhte strategische Bedeutung größtenteils durch alle Aspekte der Vorgänge bei der SEC vorangetrieben wird, und dass die SEC große börsennotierte Unternehmen für die Aktionen des CISO zur Rechenschaft zieht. CISOs sind jetzt auf dieser Ebene für wichtige Offenlegungen im Hinblick auf die Anforderungen der Aktionäre zur Rechenschaft gezogen, was die Rolle des CISO sicherlich aufwertet und zu einer viel umfassenderen und wirkungsvolleren Rolle für diesen CISO führt.
0:13:40.2 Jadee Hanson: Ich denke, die zweite Art von Veränderung, die ich in den kommenden Jahren für die Rolle des CISO sehe, ist diese Verschiebung der Rolle von der reinen Peer-Sicherheitsrolle hin zu einer Rolle im Bereich Technologiestrategie und -risiko. Also ein bisschen mehr von dieser CIO-Konvergenz und ein bisschen mehr von dieser Chief Risk Officer-Konvergenz. In vielen Fällen tragen die CISOs von heute dieselben Aufgaben wie die CIOs und Chief Risk Officers (darüber haben wir bereits gesprochen), aber viele der Aufgaben im Zusammenhang mit wichtigen Technologieentscheidungen innerhalb der Organisationen landen letztendlich im Labor der CISOs. Und heute geht die Rolle des CISO über reine Sicherheit und Technologie hinaus. Stattdessen hat er einen Platz am Tisch, um die Sicherheit zu bewerten, wenn entsprechende Lösungen in die Organisation eingebracht werden.
0:14:32.9 Max Havey: Und diese Sichtbarkeit im Frontend zu haben, wenn CISOs für mehr Dinge zur Verantwortung gezogen werden, beispielsweise für Einreichungen und Offenlegungen bei der SEC und dergleichen. Ich denke, dass es wichtig ist, eine Vorstellung davon zu haben, welche Technologie riskant ist und welche Maßnahmen wir ergreifen können, um diese Risiken zu eliminieren. Wir sollten diese Dinge von vornherein im Blick haben und nicht erst davon erfahren, wenn sie passieren. Ich denke, das ist eine Schlüsselstrategie, um gleichzeitig Ihre Sicherheit und Ihre Technologie zu verbessern. Im Laufe der Jahre, in denen ich an dieser Sendung gearbeitet habe, habe ich von vielen Sicherheitsführern gehört, dass ein proaktiver Ansatz einer der Schlüssel dafür ist, ein guter CISO zu sein und als Unternehmen eine gute Sicherheitsstrategie zu haben.
0:15:11.1 Jadee Hanson: Ja, 100 %. So oft wir uns auch frühzeitig einbringen können, es gibt jede Menge Studien zu den Kosten einer frühzeitigen Durchführung einer Sicherheitsänderung und sogar während des gesamten Entwicklungszyklus im Vergleich zu dem Versuch, eine Änderung in einem Produkt nach dessen Auslieferung zu implementieren. Und natürlich sind die Kosten unglaublich gering, wenn Sie sich frühzeitig einbringen und die richtigen Leute dazu bringen, die richtigen Entscheidungen zu treffen, und nicht erst im Nachhinein.
0:15:38.0 Max Havey: Absolut. Und um es zum Abschluss zu bringen: Was reizt Sie als jemand, der in der Sicherheitsbranche als CISO und CIO tätig war, am meisten? Was reizt Sie daran, diese Art von Rollen zusammenzuführen und die Verantwortlichkeiten rund um Technologie und Sicherheit zu vereinen?
0:15:53.6 Jadee Hanson: Ich glaube, was mich aus der Perspektive eines CISO begeistert, ist, dass wir seit Jahren ständig auf und ab springen und sagen: „Hey, schenkt uns Aufmerksamkeit“, und in letzter Zeit, glaube ich, stehen wir stark im Rampenlicht, die Rolle des CISO ist stark in den Mittelpunkt gerückt. Und ich denke, dass das in vielen Fällen eine gute Sache ist. Sicherlich müssen wir noch mehr tun, um sicherzustellen, dass die Regierungsbehörden unseren Bereich wirklich gründlich verstehen. Dennoch denke ich, dass es wirklich sehr wichtig ist, Einblick in die Rolle, in das, was wir tun und wie wir vorgehen, zu haben. Und das begeistert mich. Ich beobachte in der Branche auch, dass Technologieentscheidungen zunehmend Teil der CISO-Rolle werden. Man könnte also meinen, dass die Entscheidungen in Bezug auf die Technologie beim CIO liegen und dass es eine Partnerschaft mit dem CISO gibt. Und jetzt sieht man sozusagen, dass CISOs unterschiedliche Technologieteams leiten und dass die Entscheidungen in der Rolle des CISO getroffen werden, was meiner Meinung nach unglaublich wichtig ist. Und das ist wirklich spannend, denn ich denke, in dieser Hinsicht ist es nicht so, dass der CISO nur durchhält und versucht, aufzuholen, sondern dass er Teil des Entscheidungsprozesses ist.
0:17:12.8 Max Havey: Sie müssen definitiv nicht mehr hinterherhinken und bekommen endlich ihren Moment im Rampenlicht, ihre Zeit zu glänzen und ihre Zeit, das Rudel anzuführen.
0:17:18.0 Jadee Hanson: Auf jeden Fall.
0:17:18.9 Max Havey: Auf jeden Fall. Nun, Jadee, vielen Dank, dass Sie sich heute die Zeit genommen haben. Das war ein hervorragendes Gespräch, in dem wir uns eingehend mit der Dichotomie zwischen den Rollen des CIO und des CISO und deren Konvergenz befassten. Vielen Dank, dass Sie sich die Zeit genommen haben. Wir wissen das wirklich zu schätzen.
0:17:30.2 Jadee Hanson: Ja, absolut. Vielen Dank, dass ich hier sein durfte.
0:17:32.7 Max Havey: Auf jeden Fall. Und Sie haben den Podcast „Security Visionaries“ gehört. Ich war Ihr Gastgeber, Max Havey, und wenn Ihnen diese Episode gefallen hat, teilen Sie sie mit einem Freund und abonnieren Sie Security Visionaries auf Ihrer bevorzugten Podcast-Plattform. Dort können Sie sich unseren bisherigen Episodenkatalog anhören und nach neuen Episoden Ausschau halten, die alle zwei Wochen erscheinen und entweder von mir oder meiner Co-Moderatorin, der wunderbaren Emily Wearmouth, moderiert werden. Und damit sehen wir uns in der nächsten Folge.
Warum Netskope? 
){kind=icon}
