CISO arbeitet mit CIO und CFO bei den Beziehungen zum Vorstand zusammen

In einer stark regulierten Branche wie den Finanzdienstleistungen ist die Cybersicherheit ein wachsendes Problem. Nicht nur die Aufsichtsbehörden achten verstärkt darauf, wie Unternehmen ihre Daten schützen, sondern auch die Unternehmensleitungen. Die Aufgabe des CISO gewinnt in dieser Branche immer mehr an Bedeutung, und ein wichtiges Element der Rolle ist die Zusammenarbeit mit dem Vorstand beim Management von Cyberrisiken.

Für den CISO eines Hypothekendienstleisters war das mit Sicherheit der Fall. Er trat 2021 in das Unternehmen ein und wurde mit der Verbesserung der Sicherheitslage beauftragt, die bis dahin unter der Aufsicht der IT-Abteilung stand. "Die Cybersicherheit hat die volle Unterstützung der Geschäftsleitung und aller Mitarbeiter", sagte der CISO. "Sie haben viel Macht, denn ist wichtig für das Unternehmen. Ich habe mich noch nie so unterstützt gefühlt."

Das Unternehmen wurde nach dem Zusammenbruch des Immobilienmarktes 2008 gegründet und bietet Lösungen für Hypothekenkreditgeber und -verwalter an. In den letzten drei Jahren konnte das Unternehmen sein Geschäft um 540 % ausbauen und befindet sich damit in einem Wachstumsmodus. Ein solches Wachstum bringt zusätzliche Sicherheitsbedenken mit sich, und das Unternehmen hatte sich zu einer Reihe von Investitionen in die Informationssicherheit verpflichtet, einschließlich der neuen CISO-Funktion. Das Verständnis der Vorstandsmitglieder für Cybersicherheit war jedoch begrenzt. 

Nach zwei Jahren im Amt des CISO - dank der starken Unterstützung durch die Geschäftsleitung, der engen Zusammenarbeit mit wichtigen Geschäftspartnern und der häufigen Kommunikation mit dem Vorstand - sind beim Management der Cybersicherheit alle Hände voll zu tun. "In meiner Laufbahn habe ich erlebt, dass Vorstände und CEOs Cybersicherheit wirklich als eine Art 'Ich muss das einmal im Jahr machen' behandeln. Sie kreuzen das Kästchen an, und es gibt keine weitere Beteiligung", so der CISO. "Das Unternehmen, in dem ich jetzt bin, ist eine 180°-Wendung davon."

Wie in einer demnächst erscheinenden Mimecast-Umfrage unter CISOs festgestellt wird, haben viele Unternehmen erkannt, dass eine Strategie für die Cybersicherheit eine Priorität auf Vorstandsebene sein muss. Eingehende Interviews über die Wahrnehmung von Cyber-Risiken auf der Ebene der Geschäftsleitung und des Vorstands unterstrichen die Notwendigkeit für Sicherheits- und Technologieverantwortliche, Cyber-Risiken und die kritische Rolle, die die Cyber-Sicherheitsstrategie für den Geschäftsbetrieb spielt, klar zu kommunizieren, um die kontinuierliche Unterstützung des Vorstands sicherzustellen.

Offene Türen und kontinuierliche Kommunikation   

Es ist wichtig, dass klare Kommunikationswege sowohl von oben nach unten als auch von unten nach oben bestehen, erklärte der CISO. Jeder im Unternehmen, vom Vorstand bis zu seinen eigenen Mitarbeitern, weiß, dass sie sich bei Sicherheitsfragen direkt an ihn wenden können. Und die Mitglieder des Verwaltungsrats haben sich nicht gescheut, sie zu nutzen. Nach den Berichten über die Sicherheitslücke in Log4J und den Angriff auf die Lieferkette von SolarWinds wandten sich beispielsweise mehrere Direktoren an ihn.

Darüber hinaus trifft sich der CISO mindestens einmal pro Quartal mit dem Vorstand - häufiger, wenn ein größeres Cybersecurity-Problem auftritt. Der CISO sieht den CIO des Unternehmens als Partner in der Kommunikation mit dem Vorstand. Gemeinsam legen sie die wichtigsten Themen fest, die auf Vorstandssitzungen behandelt werden sollen, und zwar auf einem Niveau, das dem Verständnis des Vorstands für Cybersicherheit und der Verantwortung für Geschäftsrisiken entspricht. "Es gibt bestimmte Dinge, die man nicht sagen möchte, weil die Leute sich die Haare raufen würden, wenn sie wirklich verstehen würden, was hier vor sich geht", so der CISO. "Man muss diese Dinge so formulieren, dass sie für das jeweilige Publikum am sinnvollsten sind."

Eine Roadmap unterteilt die Cyber-Prioritäten des Unternehmens in drei Kategorien: gesetzliche Vorschriften, Kundenbelange und interne Sicherheitsbewertungen. Gemeinsam bewerten der CISO und der CIO die Leistung des Unternehmens in jedem Bereich und präsentieren die Ergebnisse dem Vorstand in Form eines Diagramms. Die vierteljährlichen Berichte informieren den Vorstand über die Gesamteffektivität der Cybersicherheit sowie über die wichtigsten Sicherheitsbedenken des CISO und des CIO und die Ziele zur Risikominderung. 

Jeden Monat stellt der CISO der obersten Führungsebene ein schriftliches Sicherheitsupdate zur Verfügung und sendet einen Videobericht an alle Mitarbeiter. Seine fünfminütigen Videos könnten sich mit dem Verhalten des Unternehmens bei einer kürzlich durchgeführten Phishing-Simulation befassen oder mit neuen Bedrohungen, auf die man achten sollte, sowie mit einer Bewertung von fünf Fragen zu relevanten Themen der Cybersicherheit.

Der CFO als finanzpolitischer Verbündeter

Das Engagement des Unternehmens für die Cybersicherheit spiegelt sich in seiner Finanzierung wider. Der CISO konnte seine Investitionen in Tools und Personal aufstocken und hat kürzlich einen Cloud-Architekten eingestellt, um die Sicherheit der Multi-Cloud-Umgebung des Unternehmens zu verbessern. 

Wenn es um Budgets geht, geht der CISO bewusst und selektiv auf den Vorstand zu. Der CFO des Unternehmens ist die Anlaufstelle für diese Anfragen. Der CISO trifft sich einmal pro Quartal mit dem CFO, um das Cybersicherheitsbudget zu überprüfen und alle anstehenden Anfragen zu analysieren, um zu vermeiden, dass der Vorstand oder die Geschäftsführung überrascht werden. Dieser Ansatz weicht von dem anderer Unternehmen ab, wo "im Oktober jeder herumrennt, um sein Budget für das nächste Jahr aufzustellen", so der CISO. Er und der CFO werden dann für den Vorstand eine Übersicht über die wichtigsten Ausgaben für die Cybersicherheit über einen Zeitraum von drei Jahren erstellen und darlegen, wie sich diese Ausgaben in Form von Sicherheitsverbesserungen auszahlen sollen. 

"Es bedeutet nicht immer, dass es gekauft wird, nur weil es im Budget steht", erklärte der CISO. "Es bedeutet nur, dass sie wissen, dass es Posten gibt, für die wir in der Zukunft einen Beschaffungsbedarf sehen. Einige Ausgaben können sich erheblich auf die Finanzen des Unternehmens auswirken, so dass es sich für die Sicherheitsbehörden lohnt, sich der Bedingungen im Unternehmen bewusst zu sein und Transparenz darüber zu bewahren, welche Ausgaben notwendig sind, um die Sicherheit aufrechtzuerhalten, sagte er. 

Bewertung von Geschäftsentscheidungen im Hinblick auf Cyberrisiken

Das Unternehmen wird auch häufig von seinen eigenen Kunden geprüft, zu denen Hypothekarkreditgeber und -verwalter gehören. Diese Unternehmen würden ihr Geschäft von einem Partner abziehen, der keine ausreichenden Maßnahmen zur Sicherung ihrer Daten ergreift, so der CISO. Daher ist es von entscheidender Bedeutung, dass die Cybersicherheit in die Geschäftsprozesse integriert wird.

Der CISO ist auch an wichtigen Geschäftsentscheidungen im Unternehmen beteiligt, z. B. an der Überprüfung von Lieferantenverträgen und der Bewertung potenzieller Übernahmen im Hinblick auf Cyberrisiken. Sein Team wird die Kontrollen, Strategien, Verfahren und Risiken der anderen Partei bewerten. "Das ist kein nachträglicher Einfall", sagte er.

Die Verantwortlichen des Unternehmens haben den Deal noch nicht abgesagt, aber der CISO glaubt, dass sie es notfalls tun würden. Die Praxis liefert auch einen frühen Hinweis auf mögliche Sanierungskosten, die nach Abschluss der Transaktion anfallen würden, um sie bei den Verhandlungen zu berücksichtigen. 

Schulung zum Thema Chancengleichheit im Internet

Die Einbindung des CISO in Geschäftsentscheidungen und die Beteiligung des Vorstands und der Geschäftsleitung an der Cybersicherheitsstrategie sind Teil einer Kultur der gemeinsamen Verantwortung, der kontinuierlichen Kommunikation und der Zusammenarbeit im Bereich Cybersecurity. Das fängt beim Onboarding neuer Mitarbeiter an und zieht sich durch das gesamte Unternehmen, so der CISO. 

"Sicherheit ist schwierig. Man versucht, eine Menge Arbeit durch andere Leute zu erledigen, die man nicht kontrollieren kann", sagte er. "Wenn Geschäftsgruppen, Kollegen, und das Führungsteam nicht damit übereinstimmen, ist die Unternehmenskultur nicht ideal für die Förderung einer gesunden Cybersicherheitsumgebung."

Das ist bei diesem Unternehmen nicht der Fall. Es gibt keine Ausnahmen, wenn es zum Beispiel um Sicherheitsschulungen und Praktiken geht. InfoSec arbeitet eng mit der Personalabteilung und den Schulungsteams zusammen, um Schulungen zum Thema Cyber-Awareness durchzuführen, Lernpläne zu verfolgen und die Berichterstattung und Kommunikation zu verwalten. Jeder, vom CEO und den Vorstandsmitgliedern bis hin zu den Mitarbeitern an der Basis, nimmt an Schulungen und Phishing-Simulationsübungen teil. Diejenigen, die einen bestimmten Schwellenwert unterschreiten, müssen ein kurzes Schulungsmodul absolvieren. Wer weiterhin unzureichende Leistungen erbringt oder die Ausbildung nicht abschließt, kann gekündigt werden. 

Mit einer nahezu 100-prozentigen Abschlussquote bei Schulungen zum Thema Cybersicherheit musste der CISO diese Regel jedoch noch nie durchsetzen. "Wir gehen dabei von der Spitze aus", sagte er. "Auf diese Weise können wir die Sache in die Öffentlichkeit tragen und sagen: 'Seht her, unser CEO macht das. Warum tust du es nicht?'"

Die Quintessenz

Die Bedeutung der Unterstützung der Cybersicherheitsfunktion durch den Vorstand kann gar nicht hoch genug eingeschätzt werden. Sie muss jedoch vom CISO durch kontinuierliche Aufklärung und Kommunikation kultiviert werden, die auf das Verständnis und die Bedürfnisse der vielbeschäftigten Vorstandsmitglieder zugeschnitten sind. Kluge CISOs ziehen C-Suite-Kollegen wie den CFO und den CIO hinzu, um die Beziehungen zum Vorstand zu stärken und Investitionen in Tools, Talente und Schulungen zur Cybersicherheit zu sichern. Kontinuierliche Kommunikation - durch regelmäßige Sicherheitsaktualisierungen und eine Politik der offenen Tür - trägt ebenfalls dazu bei, eine engere Beziehung zum Vorstand und eine stärkere Sicherheitskultur zu fördern.