Verwaltungsräte stellen sich der Herausforderung der Cybersicherheit
Die Mimecast-Umfrage zeigt, dass es auf der obersten Ebene der Unternehmensführung Fortschritte in Richtung mehr Cyber-Sophie gibt, auch wenn es weiterhin Wissenslücken gibt.
Wichtige Punkte
- Cyber-Risiken sind Geschäftsrisiken, eine Tatsache, die in den meisten Aufsichtsräten inzwischen fest verankert ist.
- Die Verwaltungsräte wollen dieser Priorität Rechnung tragen, indem sie mehr Mitglieder mit Cyber-Expertise aufnehmen.
- In der Zwischenzeit müssen CISOs die Wissenslücken der Vorstände durch eine bessere Kommunikation von Cyberrisiken schließen und mehrschichtige Sicherheitsrahmen implementieren, während sie eine sicherheitsbewusste Kultur aufbauen.
Cyberrisiken sind zu einem festen Bestandteil der Tagesordnung in den Vorstandsetagen auf der ganzen Welt geworden, da die Unternehmen durch die beschleunigte digitale Transformation während der Pandemie vermehrt Angriffen ausgesetzt waren. Obwohl sich die Vorstände der Tatsache bewusst sind, dass Cyber-Risiken auch Geschäftsrisiken sind, besteht laut einer Umfrage von Mimecast ( ) unter Unternehmens- und Sicherheitsleitern () immer noch Bedarf an einer Vertiefung der Kenntnisse und Diskussionen in den Vorstandssitzungen.
Es wird erwartet, dass die Vorstände ihren Fokus weiter schärfen und in den kommenden Monaten und Jahren die Cyber-Strategie, die Kultur und die Budgets auf ein neues Niveau heben werden. Damit die Vorstände mehr Cyber-Sachkenntnis erlangen, müssen jedoch auch die CISOs und andere Sicherheitsverantwortliche mehr "Board-Sachkenntnis" erlangen, indem sie für die Vorstände die Verbindung zwischen Cybersicherheitsmaßnahmen und Geschäftsergebnissen herstellen.
Diese und andere Ergebnisse stammen aus ausführlichen Interviews mit 78 Führungskräften in 13 Ländern, in denen die Wahrnehmung von Cyber-Risiken durch die Unternehmensleitung und den Vorstand untersucht wurde. Die Befragten konnten in anonymer Form eine ehrliche Einschätzung des Zustands der Cybersicherheitsverwaltung abgeben. Ein kanadischer leitender IT-Direktor aus der Unterhaltungsbranche sagte beispielsweise: "Auf einer Skala von eins bis zehn, wobei eins das Schlimmste und zehn das Beste ist, würde ich das Verständnis des Vorstands für Cybersicherheit mit sieben bewerten."
Boards schärfen Fokus auf Cybersicherheit
Vieles von dem, was wir in diesen Interviews gehört haben, unterstreicht, wie die jüngste Beschleunigung von Trends aus der Zeit vor der Pandemie, wie z. B. die digitale Transformation und die steigende Cyberkriminalität, die Aufmerksamkeit der Aufsichtsräte für die Cybersicherheit erhöht hat. Kommentare eingeschlossen:
- "Seit der Massenumstellung auf die Digitalisierung sind Cybersicherheit und Cyber-Risiken die wichtigsten Themen in den Vorstandsetagen." CTO für ein britisches Unterhaltungsunternehmen
- "Seit COVID-19 und der Zunahme von Online- und E-Commerce-Optionen könnte man sagen, dass sich die Wahrnehmung der Cybersicherheit grundlegend geändert hat." Südafrikanischer CIO des Gesundheitswesens
- "Seit der Pandemie wurden in fast allen Sitzungen des Verwaltungsrats Themen der Cybersicherheit behandelt. - Leitender IT-Direktor im öffentlichen Sektor der USA
- Ich habe das Gefühl, dass der Vorstand das Cyber-Risiko als ein weiteres Geschäftsrisiko ansieht - allerdings eines mit potenziell größeren Auswirkungen. - Australischer CIO
Die National Association of Corporate Directors (NACD) in den USA hat in diesem Jahr berichtet, dass die Cybersicherheit zu den fünf größten Sorgen der Vorstandsmitglieder gehört (noch vor der Inflation und dem Wettbewerb um Talente, aber gleichauf mit der wirtschaftlichen Unsicherheit und der digitalen Transformation).[1] Dreiundachtzig Prozent der Direktoren gaben an, dass sich das Verständnis ihres Vorstands für Cyberrisiken seit 2020 deutlich verbessert hat. Zu diesem Zeitpunkt erklärten 61 % der Direktoren, dass sie bereit wären, bei der Cybersicherheit Kompromisse einzugehen, um ihre Geschäftsziele zu erreichen, und 70 % gaben an, dass sie bereits genug Zeit für dieses Thema in Sitzungen aufwenden.[2]
Der Wandel an der Spitze ist jedoch nicht umfassend. Viele Vorstandsmitglieder nehmen immer noch eine reaktive Haltung gegenüber der Cybersicherheit ein und wenden sich dem Thema nur zu, wenn ihr Unternehmen angegriffen wird oder sie in der Presse von einer Sicherheitsverletzung erfahren. Wie ein leitender IT-Direktor in Singapur es ausdrückte: "Sie reagieren schnell, wenn in den Medien über größere Cybervorfälle berichtet wird, aber sie vergessen das Thema schnell wieder, bis der nächste große Cybervorfall eintritt."
Boards leiden immer noch unter Wissenslücken
Das Bewusstsein der Unternehmensleitung für Cyber-Risiken reicht nur bedingt aus, so die Teilnehmer unserer Umfrage. Sie haben mehrere Möglichkeiten aufgezeigt, wie Vorstandsmitglieder mit ihrem Wissen und ihrer Erfahrung die Entscheidungskompetenz des Vorstands über das derzeitige Niveau hinaus steigern können. So könnten sachkundige Vorstandsmitglieder dazu beitragen, das Verständnis ihrer Kollegen zu erhöhen, das Ausmaß eines Problems schneller zu verstehen, ein Gefühl der Dringlichkeit in Bezug auf die Cybersicherheit aufrechtzuerhalten und Investitionen in die richtige Mischung aus Technologie, Schulung und anderen Elementen einer stärkeren Cyberstrategie zu fördern.
Einige Gremien haben eine größere Cyber-Sophie als andere. Dort, wo sie fehlt, "ist es für uns eine Herausforderung, narrensichere Sicherheit zu erreichen, da die meisten Vorstandsmitglieder nicht über einschlägige Erfahrungen im Bereich der Cybersicherheit verfügen", so ein kanadischer IT-Manager aus dem Gesundheitssektor. Ein CTO im Finanzsektor der Vereinigten Arabischen Emirate befindet sich dagegen in einer besseren Situation. "Ich glaube, wir sind anderen Banken voraus, weil einige Vorstandsmitglieder über fundierte Kenntnisse im Bereich Cybersicherheit verfügen", so der CTO. "Der größte Vorteil ist, dass diese speziellen Vorstandsmitglieder andere Vorstandsmitglieder in Fragen der Cybersicherheit schulen können. Aus diesem Grund stehen die meisten unserer Vorstandsmitglieder der Idee von gezielten Schulungsprogrammen für Mitarbeiter aller Ebenen sehr aufgeschlossen gegenüber."
Im NACD-Jahresbericht gaben vier von zehn Direktoren an, dass sie ebenfalls ein Vorstandsmitglied mit Erfahrung im Bereich Cybersicherheit befürworten. Ihre Motivation ist nicht nur die wachsende Gefahr von Angriffen sondern auch die zunehmende Kontrolle durch die Behörden.
Bessere Kommunikation kann Lücken im Vorstand schließen
Ob es sich nun um finanzielle Verluste durch einen Ransomware-Angriff, um die Auswirkungen von Unternehmensausfällen aufgrund von per E-Mail übertragener Malware oder um die Schädigung des Rufs durch eine Datenschutzverletzung handelt - Cyber-Risiken sind für die meisten Vorstände mittlerweile ein wichtiges Thema. Dennoch ist es für Sicherheitsverantwortliche keine leichte Aufgabe, ein nachhaltiges und sinnvolles Engagement des Vorstands für die Cybersicherheit zu fördern, da viele wichtige Angelegenheiten um die Aufmerksamkeit des Vorstands konkurrieren.
Die von uns befragten Führungskräfte haben uns einige ihrer Kommunikationstaktiken mitgeteilt, die von Tipps für Vorstandspräsentationen bis hin zur Veränderung von Denkweisen reichen:
- "Mein Rat an CISOs ist, nicht alles in eine Krise zu verwandeln. Seien Sie vorsichtig mit dem, was Sie ansprechen, damit es nicht zu "Lärm" wird. Halten Sie Ihr Pulver trocken für die großen Ereignisse, die Sie ansprechen wollen, und bringen Sie den Vorstand und die Führungskräfte dazu, den Wandel zu beeinflussen". - CISO des US-Technologiesektors
- "Die Herausforderung für CISOs besteht darin, dem Vorstand sinnvoll zu kommunizieren, da die meisten Methoden zur Quantifizierung anderer Geschäftsrisiken nicht auf die Cybersicherheit anwendbar sind. Ich versuche, die Botschaft einfach zu halten und mich auf Kennzahlen zu konzentrieren, die zeigen, wie gut wir unsere Cybersicherheitsziele erreichen." - CISO des US-Technologiesektors
- "Manchmal verstehen [Vorstandsmitglieder] die Kosten einer bestimmten Art von Angriffen nicht. Das ist der Moment, in dem ich mein betriebswirtschaftliches Gehirn einschalten muss (abgesehen von meinem technischen und sicherheitstechnischen Know-how) und versuchen muss, ihnen die Quantifizierung des Verlusts zu vermitteln. - Singapur CTO in der Unterhaltungsindustrie
Layered Security Frameworks bieten Wert und Wirksamkeit
Für Unternehmen, die in komplexen und unbeständigen Umgebungen operieren und immer ausgefeilteren Bedrohungen ausgesetzt sind, ist es nicht nur wichtig, die Vorstandsmitglieder auf dem Laufenden zu halten und dafür zu sorgen, dass sie sich sowohl in Krisenzeiten als auch im täglichen Betrieb unterstützt fühlen, sondern auch mehrschichtige Sicherheitsrahmen zu implementieren, die den wachsenden Budgetanforderungen gerecht werden, indem sie die Kosten senken und es den Sicherheitsteams ermöglichen, mit weniger mehr zu erreichen.
Da mehr als 90 % der Angriffe auf Unternehmen über E-Mails erfolgen, müssen CISOs ihre Bemühungen auf die E-Mail-Sicherheit konzentrieren. Wenn man die Vorstandsmitglieder an die Bedeutung von Risikomanagement-Rahmenwerken und Tabletop-Übungen erinnert und ihnen zeigt, wie diese wichtigen Instrumente die Kosten senken und die Sicherheitsteams stärken können, wird den Vorstandsmitgliedern klar, welche Folgen eine schlechte Cyber-Hygiene hat.
CISOs sollten ein Defense-in-Depth-Modell anstreben, das es den Cybersecurity-Teams ermöglicht, Cyberbedrohungen schnell zu erkennen und zu beseitigen, indem sie eine Sammlung der besten Sicherheitsprodukte einsetzen, die Daten und analytische Erkenntnisse gemeinsam nutzen und so eine echte mehrschichtige Sicherheit bieten, die den SOC-Teams hilft, Prävention, Erkennung, Untersuchung und Reaktion über Tools und Unternehmen hinweg zu verbinden.
Sicherheitsbewusste Kulturen verringern den Erfolg von Phishing
Phishing hält sich hartnäckig, weil die Angreifer ihre Vorgehensweise ständig anpassen können, und Automatisierungs-Tools und Phishing-Kits machen es weniger erfahrenen Cyberkriminellen leichter, ein größeres Netz auszuwerfen, das Unternehmen größeren Schaden zufügen kann. Vor dem Hintergrund der weltweiten Pandemie hat der jüngste Bericht State of Email Security gezeigt, dass 97 % der Unternehmen bereits mit Phishing-Angriffen konfrontiert waren und 59 % einen deutlichen Anstieg der Phishing-Bedrohungen gemeldet haben.
Um diese anhaltenden und anpassungsfähigen Bedrohungen einzudämmen, sollten sich CISOs auf die Entwicklung einer sicherheitsbewussten Kultur im gesamten Unternehmen konzentrieren, einschließlich der Vorstandsmitglieder. Eine Änderung des menschlichen Verhaltens ist jedoch weder einfach noch schnell zu bewerkstelligen. Daher dauert es im Vergleich zur Implementierung von E-Mail-Sicherheitslösungen oder anderen technologischen Tools eine gewisse Zeit, bis Ergebnisse erzielt werden. Aus diesem Grund erkennen immer mehr Führungskräfte, wie wertvoll eine Kultur, die der Cybersicherheit Priorität einräumt, für die langfristige Sicherheit ist. Die Schaffung einer solchen Kultur erfordert Beharrlichkeit, Kreativität und ein deutlich sichtbares Engagement der Führungskräfte.
Die Quintessenz
Cyberrisiken sind Geschäftsrisiken. Laut einer neuen Studie haben die Vorstände dieses Verständnis inzwischen als vorrangig eingestuft, aber sie haben noch Spielraum, um ihre Rolle im Bereich der Cyber-Governance auszubauen. Sicherheitsverantwortliche können ihrerseits dazu beitragen, Wissens- und Erfahrungslücken im Vorstand zu schließen, indem sie die Kommunikation mit dem Vorstand über Cyber-Risiken und Schutzmaßnahmen verbessern. Lesen Sie mehr über diese sich entwickelnde Situation im neuesten Bericht von Mimecast: "Behind the Screens: The Board's Evolving Perceptions of Cyber Risk."
[1] "NACD Annual Public Company Survey Reveals Key Boardroom Trends for 2022," National Association of Corporate Directors
[2] "NACD Public Company Board Governance Survey for 2020," National Association of Corporate Directors
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!