Cybersecurity
Acht Tipps für CISOs, die versuchen, ihren Vorstand mit ins Boot zu holen
Von Ori Arbel, CTO, CYREBRO
Niemand mag es, missverstanden zu werden, am wenigsten die Führungskräfte, die eine Schlüsselrolle bei der strategischen Entscheidungsfindung in Unternehmen spielen.
Dennoch sind CISOs häufig frustriert, wenn sie mit Unternehmensvorständen zu tun haben. Sie fühlen sich missverstanden und suchen nach Wegen aus dem Labyrinth der Verwirrung, das die Budgets und Abläufe der Cybersicherheit umgibt. Im Grunde genommen haben sie Schwierigkeiten, ihren Vorstand für ihre Cybersicherheitsprogramme zu gewinnen.
Das Problem liegt darin, dass die Cybersicherheit von Natur aus sowohl hochgradig strategisch und eng mit den Unternehmenszielen verknüpft ist (was die Vorstandsmitglieder sehr gut verstehen) als auch hochgradig technisch und von einem tiefgreifenden Verständnis der Bedrohungslandschaft und der Sicherheitslage des Unternehmens abhängig ist (was den Vorstandsmitgliedern weniger liegt).
Wie können CISOs also diese Kluft überbrücken? Was müssen Vorstandsmitglieder besser über Cybersicherheit verstehen, und wie können CISOs diese Botschaften effektiver vermitteln?
Wir haben acht der besten Tipps zur Kommunikation mit dem Vorstand von CISOs zusammengetragen:
Acht Tipps für den ratlosen CISO
1. Business Vokabular verwenden – CISOs kommen aus der Technik, sprechen Technik, atmen Technik und leben Technik. Aber die Natur der CISO-Rolle verlangt, dass sie sowohl in der geschäftlichen als auch in der technischen Welt Fuß fassen. CISOs sind universelle Übersetzer zwischen diesen Welten. Sie erläutern Risiken und ihre potenziellen Auswirkungen – auf den Ruf, den Umsatz und die Einhaltung von Vorschriften – in einem Rahmen und in einer Sprache, die ihr Vorstand verstehen kann. Sie wissen, dass jede technische Kennzahl mit einem Geschäftsziel verknüpft ist. Darum gilt es sicherzustellen, dass auch der Vorstand dies weiß.
2. Darstellung einer organisatorischen Sache, nicht einer Sicherheitssache – CISOs müssen deutlich hervorheben, dass Cybersicherheit kein IT- oder Netzwerkproblem ist. Es ist ein organisatorisches Problem. Risiken entstehen sowohl durch technische als auch durch menschliche Unzulänglichkeiten. Das bedeutet, dass die Vorstandsmitglieder verstehen müssen, dass die Schaffung einer für Cybersicherheit sensiblen Unternehmenskultur genauso wichtig (wenn nicht sogar wichtiger) ist wie die Anschaffung eines Arsenals von Tools.
3. Aufzeigen, dass Sicherheit nicht nur ein Kostenfaktor ist – Besonders in wirtschaftlich schwierigen Zeiten ist es wichtig, dass die harten Zahlen nicht nur zeigen, wie Cybersicherheit Verluste verhindert. Die finanziellen Auswirkungen eines Sicherheitsvorfalls lassen sich auch direkt auf die Messung des ROI für Cybersicherheitsinvestitionen zurückführen.
4. Rationalisieren des Stacks – Sicherheitsstacks sind aufwendig und teuer. CISOs müssen sicherstellen, dass sie ihre Position als verantwortungsbewusstes Mitglied der Führungsebene unter Beweis stellen können, indem sie einen datengesteuerten, leistungsorientierten und budgetbewussten Ansatz für die Verwaltung der Sicherheitslage verfolgen – natürlich ohne Kompromisse bei ihrer Fähigkeit, die Unternehmensressourcen zu schonen.
5. Risiken erklären, auf „FUD“ verzichten – Das Erklären spezifischer Risiken für das Unternehmen ist wichtig. CISOs müssen aber der Versuchung widerstehen, FUD (Fear, Uncertainty, Doubt) zu predigen – jeder kennt die Albtraumszenarien. Stattdessen sollte man die spezifischen potenziellen Auswirkungen bestimmter Risiken eines Vorfalls betonen – Rufschädigung, Geschäftseinbußen, Geldstrafen und Ausfallzeiten. Jede Sicherheitsverletzung oder jeder Ransomware-Angriff hat seinen Preis. Diese Risiken müssen im Detail erläutert werden.
6. Das Budget an das Risiko binden – Manchmal muss ein CISO dem Vorstand ein Budget vorlegen. In diesem Fall muss deutlich dargelegt werden, wie das Budget zur Verringerung oder Minimierung bestimmter Risiken beitragen wird. Es ist wichtig zu erklären, wie sich das Risiko, das mit dem Budget gemindert werden soll, im Falle eines Vorfalls auf die Organisation auswirken könnte, wie genau das Budget zur Minderung des jeweiligen Risikos verwendet wird und wie der ROI der mit dem Budget finanzierten Vermögenswerte gemessen wird.
7. Fragen stellen – In jeder Situation ist es besser, mit den Menschen zu reden als auf sie einzureden. Man sollte es Vorständen ermöglichen, eine Rolle bei der Definition der wichtigsten Vermögenswerte des Unternehmens zu spielen und festzulegen, wie deren Schutz priorisiert werden soll. Dazu gehört auch das gemeinsame Erörtern des Risikofaktors für jeden Vermögenswert, falls dieser gefährdet ist. Dazu gehört auch eine Einschätzung, ob die Investitionen in die Cybersicherheit angesichts der gemeinsam ermittelten Unternehmensrisiken für ausreichend befunden werden.
8. Praxistag – Man sollte jährlich oder sogar halbjährlich Übungen für Vorstandsmitglieder durchführen. Die Auswirkungen einer Sicherheitsverletzung auf die Organisation müssen spürbar und erlebbar gemacht werden. Dazu gehört auch eine klare Rollenverteilung, wenn es zu einem größeren Sicherheitsvorfall kommt.
Die Quintessenz
Die Unterstützung des Vorstands für Ihr Cybersicherheitsprogramm ist entscheidend, um ein effektives Sicherheitsmanagement zu betreiben. Das ist keine kleine Herausforderung. Wenn man sich jedoch die Zeit nimmt zu verstehen, wer die relevanten Vorstandsmitglieder sind, wie sie denken und wie sie Werte wahrnehmen. Das ist entscheidend um ihnen die technische Welt auf eine Art und Weise zu vermitteln, die für sie verständlich ist. Eine verständliche Kommunikation ebnet den ansonsten steinigen Weg bis zur Zustimmung des Vorstands.