Erörterung der Cybersicherheit mit dem Vorstand
Um die Unterstützung und die Ressourcen der Unternehmensleitung zu gewinnen, müssen sich Cybersicherheitsexperten mehr auf die Verringerung des Geschäftsrisikos und weniger auf technische Kennzahlen konzentrieren.
Wichtige Punkte
- Cybersecurity-Führungskräfte brauchen die Unterstützung des Vorstands, um sich die erforderlichen Ressourcen zu sichern.
- Doch wenn man Vorstandssitzungen als Gelegenheit nutzt, um für zusätzliche Mittel zu plädieren, kann man nur verlieren.
- Ein besserer Ansatz besteht darin, das Gespräch auf die Verringerung des Unternehmensrisikos und die Erhöhung der Bereitschaft zu konzentrieren.
Wenn ein CISO oder eine andere Führungskraft im Bereich Cybersicherheit den Sitzungssaal betritt, sind die Vorstandsmitglieder oft auf einen immer größeren Budgetantrag gefasst. Und genau so gehen viele Cybersicherheitsexperten an ihre Gespräche mit dem Vorstand heran: Als Gelegenheit, um mehr Mittel zu erbitten. Die Vorstandsmitglieder fragen sich unterdessen, warum die Millionen, die sie bereits für Firewalls, E-Mail-Gateways und Anti-Malware-Software bewilligt haben, nicht ausreichen.
Es gibt Führungskräfte im Bereich der Cybersicherheit, die den gegenteiligen Ansatz verfolgen. Für sie geht es in ihrer kostbaren Zeit mit dem Vorstand "nicht darum, mehr Geld zu bekommen", sagt Josh Douglas, Vice President of Threat Intelligence bei Mimecast. "Es geht darum zu vermitteln, wie sie dem Unternehmen tatsächlich Geld sparen können, indem sie zeigen, wie sie das Unternehmen sicherer machen."
Es ist ein Zaubertrick, der eine Vorstandspräsentation von einem weiteren Antrag auf Finanzierung in eine Diskussion über den Cybersicherheitsstatus der Organisation und die besten Strategien für die Zukunft verwandelt.
Veränderung der Threat Intelligence-Konversation
Die Unterstützung des Vorstands zu gewinnen ist entscheidend, um Cyber-Risiken wirksam anzugehen, doch die Vermittlung des Wertes der Cybersicherheit bleibt für viele Cyber-Experten eine Herausforderung. Dies macht es ihnen schwer, die erforderlichen Investitionen in Tools und Personal zu tätigen, um mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten. "Wenn man den Wert nicht richtig artikuliert", sagt Mark Toshack, Principal Product Manager bei Mimecast, "wird man nie Ressourcen zur Bekämpfung der Gefahr erhalten."
Cybersecurity-Experten wollen den Vorstand vielleicht mit der Zusicherung beeindrucken, dass das Unternehmen vor Angriffen geschützt ist. Doch angesichts der fast täglich zunehmenden Bedrohungen könnte dies ein Versprechen sein, das sie nicht halten können. Ein besserer Ansatz, so Douglas, ist es, die Dinge zu identifizieren, die man kontrollieren kann.
Das fängt damit an, dass man dem Vorstand versichert, dass die IT- und Cybersicherheitsorganisation ihre Ressourcen optimal einsetzt, anstatt nach noch mehr Tools oder Investitionen zu fragen.
Wenn es tatsächlich Lücken in der Verteidigung des Unternehmens gibt, besteht eine effektive Möglichkeit, den Vorstand darauf aufmerksam zu machen, darin, einen Bereich mit Kosteneinsparungen hervorzuheben und zu erklären, wie diese Mittel umverteilt werden können, um einige der Lücken ohne zusätzliche Mittel zu schließen. "Das führt zu einer ganz anderen Diskussion mit dem Vorstand, als wenn man hingeht und sagt, dass uns dieses und jenes fehlt", sagt Douglas. "Das ist eine ganz andere Geschichte."
Ein neuer Weg zur Messung und Berichterstattung über Cyberrisiken
Ein weiterer Fehler, den Führungskräfte im Bereich Cybersicherheit bei der Kommunikation mit dem Vorstand begehen, hat mit der Art der von ihnen verwendeten Kennzahlen zu tun. Es ist kontraproduktiv, die Cybersicherheitslage des Unternehmens daran zu messen, wie viele Produkte im Einsatz sind oder wie viele Bedrohungen die Firewall im letzten Monat abgefangen hat, da diese Art von Informationen den wahren Zustand der Unternehmensverteidigung nicht wiedergibt. Der Vorstand hingegen möchte wissen, wie gut das Cybersicherheitsteam auf die Abwehr von Angriffen vorbereitet ist. "Sie wollen wissen, dass wir auf alles vorbereitet sind, was der Gegner uns vorsetzt", sagt Douglas. "Das bedeutet, dass wir uns von weitgehend quantitativen zu eher qualitativen Metriken bewegen.
Zu diesen Maßnahmen gehören die Bewertung des Bewusstseins der Mitarbeiter für Cybersecurity-Risiken und die erforderlichen Schritte zu deren Minderung, das Risikoprofil des Unternehmens im Vergleich zu anderen Mitgliedern seiner Branche und die bisherigen Fortschritte bei der Schließung von Sicherheitslücken. Ein wirksames Instrument zur Darstellung dieser Informationen ist ein Dashboard, das diese Maßnahmen im Laufe der Zeit visuell vergleichen und gegenüberstellen kann.
Die Verwendung eines solchen Dashboards kann Führungskräften im Bereich der Cybersicherheit einen Vorsprung im Vorstand verschaffen. Sie können die Bemühungen des Unternehmens zur Bewältigung der größten Cybersecurity-Risikofaktoren wie menschliches Versagen und Ausbeutung der Marke des Unternehmens messen, verfolgen und schließlich dem Vorstand darüber berichten. Ein solches Dashboard liefert eine Momentaufnahme der Fortschritte des Unternehmens bei Schulungen zum Thema Cyber-Sensibilisierung und bei den Bemühungen um den Markenschutz - und zeigt auf, wo Fortschritte erzielt wurden und wo möglicherweise noch mehr getan werden muss.
Toshack erklärt: "Dadurch wird das Gespräch von einem defensiven Gespräch, bei dem der Leiter der Cybersicherheit unter Erklärungsdruck steht, zu einem Gespräch, bei dem er oder sie in der Lage ist, zu zeigen, wie die Investitionen des Unternehmens die Sicherheitslage verbessert haben und welche Pläne es für zukünftige Verbesserungen gibt."
Douglas fügt hinzu, dass der Vorstand genau das wissen will: wie das Unternehmen abschneidet, wie es im Vergleich zu allen anderen abschneidet und welche Schritte unternommen werden, um etwaige Schwachstellen zu beseitigen. "Wenn Sie diese Fragen beantworten können", sagt er, "wird der Vorstand darauf vertrauen, dass Sie gute Arbeit leisten.
Die Quintessenz
CISOs und andere Führungskräfte im Bereich Cybersicherheit begehen einen Fehler, wenn sie ihren Termin mit dem Vorstand als Gelegenheit betrachten, um mehr Mittel zu erhalten. Ein viel effektiverer Ansatz ist es, die wichtigsten Schwachstellen des Unternehmens zu beschreiben, die Schritte, die unternommen wurden, um diese Risiken zu beseitigen, und alle Schwachstellen oder Mängel, die noch behoben werden müssen.
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!