IT Sicherheitsexperten: Die Wahrheit ist irgendwo da draußen
Wenn ich Angeln gehen möchte brauche ich einen Angelschein. Möchte ich ein Auto fahren benötige ich einen Führerschein. Wenn ich IT Sicherheitstipps geben möchte poste ich diese einfach ins Internet.
Warum ist bei einer so entscheidende Tätigkeit wie Beratung im IT Sicherheitsumfeld keine Qualifizierung notwendig und wie kann ich als Kunde sicherstellen das meine Bedürfnisse auch beachtet werden?
UND WARUM ZUM TEUFEL MAßE ICH MIR AN DIES BEURTEILEN ZU KÖNNEN?
Wir befinden uns in einer Zeit wo jeder in der Lage ist einen Blog, ein Buch oder einen Videokanal zu erzeugen. Klar fördert dies ein exponentielles Wachstum von Experten zu allen Themen. Hat natürlich auch den Vorteil, das jeder seine Meinung, seine Expertise ungefiltert von großen Medien an ein großes Publikum weitergeben kann.
Für den Konsumenten, der in der Materie nicht so tief drin steckt wird es immer schwieriger die unzähligen Experten und deren Qualität bewerten zu können.
Aber war dies vor der Digitalisierung anders? War jeder “Experte” der eventuell vor der Haustüre stand auch wirklich der, wo das Thema beherrschte und die Aufgabe zur vollsten Zufriedenheit lösen konnte?
Wenn man es genau betrachtet haben sich die Merkmale für eine sinnvolle Betrachtung auch in der modernen Welt nicht verändert.
Meine Top 5 –
wie bewerte ich ob der IT Sicherheitsexperte für mein Unternehmen hilfreich oder sogar schädlich ist:
Platz 5
Keine eigene Erfahrung mit dem Produkt oder der Leistung
“Um schwimmen zu lernen, muß ich ins Wasser gehen, sonst lerne ich nichts.” August Bebel
Eine einfache Frage die einem Experten zu seiner Lösung gestellt werden kann ist oftmals ob er diese auch selber im Einsatz hat? Experte kann man nur sein wen man alle stärken und Schwächen kennt, Probleme einer Lösung selber in der Praxis erfahren hat und täglich damit arbeitet. Argumente wie “Die Lösung ist für uns nicht passend oder zu groß” sollten immer kritisch hinterfragt werden. Wenn die IT Sicherheitslösung zu einem sehr schutzbedürftigen IT Unternehmen nicht passt oder das IT Unternehmen eine “bessere” Lösung einsetzt warum sollten dann Sie diese Lösung einsetzen.
Deshalb:
Lassen Sie sich zeigen wie die Idee, Lösung oder das Produkt in der Live Umgebung des “Experten” arbeitet.
Platz 4
Demut – Das eigene Bewusstsein die eigene Lösung immer kritisch zu hinterfragen
Vorab, egal wie gut und weitreichend die Lösung ist, Egal wieviel Entwicklung drin steckt, jede Lösung wurde von Menschen erstellt und übernimmt somit die Unvollkommenheit des Schöpfers.
Hat der IT Sicherheitsexperte Pläne, Voraussetzungen geschaffen, wenn die Lösung nicht funktioniert? Ein guter IT Sicherheitsexperte wird immer gut vernetzt mit weiteren IT Sicherheitsexperten sein. Schwarmwissen und für einzelne Szenarien spezialisierte Experten, können somit das eigene GAP abdecken.
Deshalb:
Fragen Sie den Experten, wie ist dieser mit anderen externen Partnern vernetzt? Das können große Hersteller, Sicherheitsallianzen oder Kooperationen sein. Ein Experte alleine wird in einem so komplexen Umfeld wie IT Sicherheit nicht bestehen können.
Platz 3
Open Mind – Den Blick nach links und rechts und über den Tellerrand hinaus nicht zu verlieren
Klar. Jedes Unternehmen muss Geld verdienen um überleben zu können. Wenn aber Entscheidungen nach Margen und nicht nach technologischen Entscheidungen getroffen werden, kann dies Ihre IT Sicherheit stark gefährden. Die beste Lösung aus dem letzten Jahr, kann durch eine geänderte Bedrohungslage in diesem Jahr die schlechteste sein. Speziell in einem Segment wie IT Sicherheit hat die Dynamik in den letzten Jahren stark zugenommen.
Deshalb:
Wie “verheiratet” ist der Sicherheitsexperte mit seiner Lösung? Wie kritisch und wie oft hinterfragt er seine eigene Lösung. Welche Parameter und Kriterien lassen ihn darauf schließen, dass er die attraktivste Lösung Ihnen präsentiert? Fragen Sie aktiv nach!
Platz 2
Fake News – Alles was nicht d’accord mit der eigene Lösung ist, ist eine Lüge
Ein für mich wichtiges Kriterium, damit ich eine realistische Einschätzung machen kann. Wie redet der IT Sicherheitsexperte über andere Lösungen? Kennt er diese und was hält er von diesen? Sind aus seiner Sicht alle anderen nur Müll? Sie können sicher sein, wenn der Experte andere Lösungen kaputt redet und nicht auf die Gründe eingeht warum diese so viel schlechter sein soll als seine, dann sollten Sie dies sehr kritisch betrachten. Wie auch bei anderen Themen zählen bei IT Sicherheit nur Fakten.
Deshalb:
Es gibt sicherlich bessere und schlechtere Lösungen am Markt, doch sicherlich hat jede Lösung einen Grund weshalb es diese noch am Markt gibt. Fragen Sie nach Fakten weshalb die eine Lösung besser oder schlechter ist.
Mein Platz 1
“Manche Menschen haben so viel Ahnung und Meinung, da kann gar kein Platz für Wissen mehr sein” (Zitat: www.madeMyDay.com)
Bei IT Sicherheit wird oftmals, wie auch bei vielen anderen Themen, das wichtigste vergessen. Zuhören, die Bedürfnisse des Kunden zu ermitteln und was der Kunde eigentlich braucht. IT Sicherheit fängt viel öfter bei den Prozessen und den Menschen an. Produkte können hier nur unterstützen.
IT Sicherheit ist keine Meinung eines Experten, was benötigt wird sondern vielmehr ein Baukasten der auf den Kunden zugeschnitten werden muss. Hierzu gehört, wie bei vielen anderen Dingen, oftmals die Erfahrung. Schulung, Weiterbildung und langjähriges Auseinandersetzten mit IT Sicherheit, ist eine wichtige Voraussetzung damit dieser richtig beraten kann. Was aber nie schadet, dass der erfahrene Experte andere Meinungen von jüngeren, branchenfremden aufnimmt und verwerten kann. Diese Kriterien machen einen Experten aus.
Deshalb:
Mehr als eine Meinung zu so einem wichtigen Thema wie IT Sicherheit ist ein entscheidender Faktor um die IT sicher zu bekommen. Zertifizierungen des Experten wie bspw. ISO 27001, Zertifikate von Herstellern, saubere weitreichende Verträge zwischen dem Experten und dem Kunden helfen hier. Das Wissen des Experten kann nur von unabhängigen Dritten geprüft werden. Ansonsten fehlen oftmals unabhängige Kriterien für eine Bewertung.
Um noch die Frage zu beantworten warum wir davon ausgehen diese Bewertung machen zu können:
- Wir setzen alle IT Sicherheitsprodukte zuerst bei uns intern ein und zwar nicht im Labor sondern in unserer Produktiv Umgebung
- Unsere Lösungen und unsere Prozesse werden jedes Jahr im Rahmen unserer ISO 27001 Audits extern überprüft
- Wir sind Mitglied in vielen Verbänden und Allianzen zum Thema IT Sicherheit wo wir nicht nur passiv Informationen abgreifen, sondern aktiv Tools und Wissen einbringen. Wir müssen nicht alles wissen, wir wissen aber wer das Wissen hat.
- Unsere Experten müssen immer Zertifikate zu den eingesetzten Produkten ablegen. Mehrmals im Jahr finden interne Leistungstests statt die sicherstellen, dass jeder die Prozesse und Richtlinien zum Thema IT Sicherheit kennt
Gerne helfen wir Ihnen wir wie unseren über 500 Bestandskunden in diesem Thema um Ihr Unternehmen noch sicherer zu gestalten.
