CISOs

Warum CISOs sich und Security als Produkt verkaufen sollten

, München, Varonis | Autor: Klaus Nemelka

Warum CISOs sich und Security als Produkt verkaufen sollten

Über schwierigen Bedingungen für CISOs

Von Klaus Nemelka, Technical Evangelist bei Varonis Systems

Klaus Nemelka, Technical Evangelist bei Varonis

Herausfordernder Job, wenig Akzeptanz: Immer wieder verdeutlichen Studien die schwierigen Bedingungen für CISOs. So beklagen gemäß einer Studie der CISO Alliance etwa zwei Drittel Widerstände (69 %) und drei Viertel wenig Akzeptanz (74 %) für ihre Anliegen in ihren Unternehmen. Dies ist umso bemerkenswerter, da die Bedrohungen immer größer werden und auch das Bewusstsein für die Notwendigkeit für Cyber Security im Allgemeinen wächst.

Zudem steigen seit Jahren auch die entsprechenden Budgets. Und trotzdem bleibt es für CISOs schwierig, den Wert ihrer Arbeit, vor allem aber die wirtschaftliche Bedeutung ihrer Budgets bei den entsprechenden Stellen, also im Vorstand oder der Geschäftsführung, deutlich zu machen. Oft gelingt es ihnen nicht, die Ausgaben als echte Investitionen zu präsentieren, die wesentlich zum Geschäftserfolg beitragen.

So zeigte kürzlich eine Befragung des PAM-Spezialisten Thycotic, dass es mehr als der Hälfte von ihnen (52 %) nach wie vor schwerfällt, ihre Sicherheitsinitiativen an den Gesamtzielen des Unternehmens auszurichten. Entsprechend sollten sie sich und auch IT-Sicherheit als Produkt begreifen, dass sie entsprechend „verkaufen“ müssen. Security ist längst ein Produkt, entscheidend ist es, die Vorteile erhöhter Ausgaben für Sicherheit und damit verbundenes Personal und Infrastruktur zu kommunizieren. Dabei ist es hilfreich, dass die Cybersicherheit auf Vorstandsebene zweifellos ein viel größeres Profil und einen viel größeren Anteil am Bewusstsein hat als noch vor fünf oder zehn Jahren.

Die größte Herausforderung beim Verkauf von Investitionen in Security ist das Fehlen eines konkreten ROI. Sales- und Marketing-Investitionen sind relativ leicht zu messen. Security ähnelt eher einer Versicherung, wobei Cyberrisiken schwer zu messen und quantifizieren sind. Ganz gleich, ob es sich um die Betriebskosten für Anstrengungen handelt, sensible Informationen zu schützen, um Wiederherstellungskosten nach einer potenziellen Datenschutzverletzung oder um langfristige Marken- und Imageschäden durch einen öffentlich gewordenen Vorfall: der ROI der Cyber Security ändert sich ständig und ist schwer zu quantifizieren. Ohne eine konkrete Kapitalrendite kann es schwierig sein, die langfristigen Vorteile einer erhöhten Investition in Sicherheit zu verkaufen.

Effektives Verkaufen geschieht durch klare Kommunikation darüber, wie Menschen, Verfahren und Technologie zusammenarbeiten, um einen erfolgreichen Plan umzusetzen. Viele Sicherheitsinvestitionen folgen jedoch eher einem „Malen-nach-Zahlen“-Ansatz, bei dem verschiedene Technologien eingesetzt werden, ohne dass ausreichend darüber nachgedacht wird, wie und von wem sie genutzt werden. Effektive CISOs minimieren die „Regalware“ und stellen sicher, dass Sicherheitsinvestitionen ganzheitlich zusammenarbeiten, um die Geschäftsziele zu fördern. Insofern sollten CISOs, die ja oftmals eher einen technischen Hintergrund aufweisen, auch über Marketing-Skills verfügen. In dem Maße, wie der Bedarf an höheren Ausgaben für die Sicherheit wächst, wächst auch der Bedarf an Fähigkeiten, die Investitionen zu verkaufen. Gute CISOs können ihr Team vermarkten und effektiv planen, wie jede andere Führungskraft. CISOs müssen also jetzt viel mehr sein als bloße Technologen. Sie müssen die rechtlichen, Compliance- und geschäftlichen Auswirkungen ihrer Erfolge und Misserfolge viel besser verstehen als in der Vergangenheit.

Cyber Security wird immer wichtiger und komplexer. Dies hat zur Folge, dass ausgezeichnete Führungs- und Kommunikationsfähigkeiten für einen erfolgreichen CISO entscheidend sind. Besseres Training in den Bereichen Datenschutz und Einhaltung von Vorschriften sind die Grundlage für den Erfolg. Die Zeiten, in denen technische Expertise genügte und sie einfach einzelne Punkte abhaken konnten, um nachzuweisen, dass spezifische Maßnahmen ergriffen wurden, sind längst vorbei. CISOs müssen verstehen, was sie schützen müssen, was der Kern ihrer Aufgabe ist. Im Bereich der Datensicherheit etwa müssen sie nachvollziehen können, wie Informationen verwendet werden und wie sie mit den umfassenderen Zielen des Unternehmens zusammenhängen, um sie effektiv zu schützen. Sie müssen den Zusammenhang zwischen ihrer Arbeit und den Unternehmenszielen verstehen und vor allem auch darstellen können. Wenn ihnen das gelingt, werden sie zum echten Verkaufsschlager.