CISO Hiring Guide
Sechs Tipps, wie Sie Security-Experten finden
IT-Security-Fachkräfte sind heute heißbegehrte Mangelware. Viele Unternehmen tun sich schwer, qualifizierte Mitarbeiter zu finden. Doch wenn wichtige Stellen unbesetzt bleiben, gefährdet das die Sicherheit. Die folgenden sechs Tipps helfen, die richtigen Experten an Land zu ziehen und zu halten.
Laut einer ESG-Studie haben fast die Hälfte der Unternehmen Probleme, vakante Stellen im Security-Bereich zu besetzen. Prognosen zufolge wird sich die Lage noch weiter zuspitzen. Denn bis im Jahr 2012 soll die Anzahl der unbesetzten Security-Jobs von derzeit einer Million auf 3,5 Millionen steigen. Weil erfahrene Mitarbeiter fehlen, müssen Nachwuchskräfte geschult werden. Doch das kostet wertvolle Zeit, die der Belegschaft dann an anderer Stelle fehlt. Die Kompetenzlücke macht sich für Unternehmen schmerzhaft bemerkbar. So klagen 22 Prozent, dass ihre Cybersecurity-Teams zu klein sind, und 18 Prozent geben an, dass sie ihr Arbeitspensum nicht schaffen. Das wiederum geht auf Kosten der Sicherheit. Denn wenn Mitarbeiter überlastet sind, können sie nur reaktive Security betreiben.
Verkompliziert wird die Situation dadurch, dass sich die Rolle der Cybersecurity-Teams derzeit rapide ändert und es in vielen Unternehmen unklar ist, welche Aufgaben die einzelnen Mitarbeiter haben, was von ihnen erwartet wird und wie man ein leistungsstarkes Team aufbaut. Klar ist jedoch: Wie sich eine Security-Abteilung definiert, hängt entscheidend davon ab, wen sie einstellen. Die folgenden sechs Tipps helfen Ihnen dabei, die richtigen Experten zu finden.
1. Formulieren Sie aussagekräftige Stellenausschreibungen
Im Durchschnitt entscheidet ein Bewerber innerhalb von sechzig Sekunden, ob ihn ein Job interessiert oder nicht. Deshalb müssen Sie Ihr Stellenangebot auf den Punkt formulieren. Es sollte nicht nur die Aufgaben des Mitarbeiters beschreiben. Eine gute Anzeige „verkauft“ die Stelle und motiviert qualifizierte Kandidaten, sich zu bewerben. Hinter den Kulissen hilft die Ausschreibung den beteiligten Managern, Kollegen und Stakeholder außerdem dabei, die Aufgaben und Zuständigkeiten des neuen Mitarbeiters abzustimmen.
2. Veröffentlichen Sie Ihr Stellenangebot auf den richtigen Kanälen
Arbeitssuchende nutzen durchschnittlich 17,7 Kanäle für die Stellensuche. Dazu kommen all die potenziellen Kandidaten, die nicht aktiv nach einem neuen Job suchen. Deshalb ist es entscheidend, dass Sie Ihre Stellenanzeige nicht nur in möglichst vielen, sondern auch in den richtigen Kanälen veröffentlichen. Wählen Sie die Jobportale und Social Media-Plattformen aus, die für die jeweilige Stelle relevant sind und auf denen Sie die gewünschte Zielgruppe antreffen. Denn: Der Ort, an dem Sie fischen, bestimmt auch, welche Fische Sie fangen.
3. Überdenken Sie Ihre Auswahlkriterien
Auch wenn das Angebot an Fachkräften im Security-Bereich deutlich kleiner ist als die Nachfrage, kann es passieren, dass Sie auf eine gute Stellenausschreibung bis zu 100 Bewerbungen erhalten. Sie alle durchzusehen ist aufwändig, und oft gelingt es Recruitern und Managern trotzdem nicht, die besten Kandidaten auszuwählen. Entscheidend ist daher ein effizienter Screening-Prozess. Klären Sie für sich, auf welche Kriterien Sie wirklich Wert legen. Muss ein Bewerber zum Beispiel unbedingt studiert haben, oder ist vielleicht sogar jemand besser geeignet, der eher über praktische Security Erfahrung an vorderster Front verfügt?
4. Führen Sie Bewerbungsgespräche als Dialog
In Bewerbungsgesprächen erfahren Unternehmen mehr über die Qualifikation, den Hintergrund, die Ziele und die Arbeitsweise des Kandidaten und sehen, wie dieser sich präsentiert. Aber auch der Bewerber nutzt das Gespräch, um seinen potenziellen Arbeitgeber unter die Lupe zu nehmen. Macht er schlechte Erfahrungen, schadet das dem Ruf des Unternehmens. Deshalb sollten Sie im Bewerbungsgespräch auf eine positive Candidate Experience achten und für eine angenehme Atmosphäre sorgen.
5. Wählen Sie den besten Kandidaten aus
Langstreckenläufer wissen, dass auf den letzten 50 Metern des Rennens noch viel passieren kann. Deshalb ist es wichtig, dass sie nicht auf den falschen Bewerber setzen oder Sie die Stelle plötzlich neu ausschreiben müssen, weil ihr Wunschkandidat nach einem schlechten Erlebnis abspringt. Dafür brauchen Sie die richtigen Prozesse. Hilfreich ist zum Beispiel, wenn alle Interviewer nach dem Bewerbungsgespräch einen Bewertungsbogen ausfüllen. Der Recruiter kann das gesammelte Feedback dann auswerten. Sobald einer der Beteiligten sein Veto gegen einen Kandidaten einlegt, sollten Sie darauf hören. Bedenken Sie auch, dass es in der Regel keinen Bewerber gibt, der alle Wunschkriterien erfüllt. Statt weiter nach der perfekten Besetzung zu suchen, sollten Sie daher auch das Entwicklungspotenzial eines Kandidaten einschätzen.
6. Sorgen Sie dafür, dass Ihr neuer Sicherheitsexperte auch bleibt
Sie haben den besten Bewerber ausgewählt und die Stelle erfolgreich besetzt? Herzlichen Glückwunsch – doch damit ist es noch nicht getan. Jetzt müssen Sie dafür sorgen, dass der neue Mitarbeiter auch richtig durchstarten kann, sich im Unternehmen wohl fühlt und nicht gleich wieder das Weite sucht. Es lohnt sich, einen Onboarding-Prozess zu etablieren. Statistiken zeigen, dass neue Mitarbeiter, die an solch einem Programm teilgenommen haben, zu 69 Prozent häufiger die nächsten drei Jahre im Unternehmen bleiben. In den ersten Tagen sollten die Neulinge sowohl eine Makro-Einführung in das Unternehmen als Ganzes als auch eine Mikro-Einführung in die speziellen Security-Belange erhalten, also Risikofaktoren, die aktuelle Bedrohungslage, Tools, Prozesse und Ziele.
Fazit
In Zeiten des Fachkräftemangels kommt es mehr denn je darauf an, Stellenausschreibungen auf den Punkt zu formulieren, auf den richtigen Kanälen nach Bewerbern zu suchen und für eine positive Candidate Experience zu sorgen. Nur mit einem effizienten Recruiting und Onboarding gelingt es, qualifizierte Security-Experten anzuwerben und zu halten. So gewinnen CISOs mehr Zeit, sich um eine proaktive Sicherheitsstrategie zu kümmern und der wachsenden Bedrohungslage zu begegnen.
Christian Vogt ist Senior Regional Director Germany bei Fortinet
Lesen Sie mehr zum Thema
