Um die Unterstützung und die Ressourcen der Unternehmensleitung zu gewinnen, müssen sich Cybersecurity-Experten mehr auf die Verringerung des Geschäftsrisikos und weniger auf technische Metriken konzentrieren.

Wesentliche Punkte:

  • Cybersecurity-Führungskräfte brauchen den Rückhalt des Vorstands, um sich die benötigten Ressourcen zu sichern.
  • Aber Vorstandssitzungen als Gelegenheit zu nutzen, um für zusätzliche Finanzmittel zu werben, ist eine "lose-lose" Angelegenheit.
  • Ein besserer Ansatz ist es, das Gespräch auf die Reduzierung des Unternehmensrisikos und die Erhöhung der Bereitschaft zu konzentrieren.

Wenn ein CISO oder eine andere Cybersecurity-Führungskraft den Vorstandssaal betritt, sind die Vorstandsmitglieder oft auf eine immer größere Budgetanfrage gefasst. Und so gehen viele Cybersecurity-Experten an ihre Zeit mit dem Vorstand heran: Als eine Gelegenheit, um mehr Mittel zu erbitten. Die Vorstandsmitglieder fragen sich unterdessen, warum die Millionen, die sie bereits für Firewalls, E-Mail-Gateways und Anti-Malware-Software bewilligt haben, nicht ausreichend waren.

Es gibt Führungskräfte im Bereich Cybersicherheit, die den gegenteiligen Ansatz verfolgen. Für sie geht es in ihrer kostbaren Zeit mit dem Vorstand "nicht darum, mehr Geld zu bekommen", sagt Josh Douglas, Vice President of Threat Intelligence bei Mimecast. "Es geht darum zu kommunizieren, wie sie dem Unternehmen tatsächlich Geld sparen können, indem sie zeigen, wie sie das Unternehmen sicherer machen."

Es ist ein magischer Trick, der eine Vorstandspräsentation von einem weiteren Antrag auf Finanzierung in eine Diskussion über den Cybersicherheitsstatus der Organisation und die besten Strategien für die Zukunft verwandelt.

Veränderung der Threat Intelligence-Konversation

Die Unterstützung des Vorstands zu gewinnen ist entscheidend, um Cyber-Risiken effektiv anzugehen, doch die Vermittlung des Wertes von Cybersicherheit bleibt für viele Cyber-Experten eine Herausforderung. Das macht es für sie schwierig, die erforderlichen Investitionen in Tools und Personal zu sichern, um mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten. "Wenn man den Wert nicht richtig artikuliert", sagt Mark Toshack, Principal Product Manager bei Mimecast, "wird man nie Ressourcen zur Bekämpfung der Gefahr bekommen."

Cybersecurity-Experten wollen den Vorstand vielleicht mit der Zusicherung beeindrucken, dass das Unternehmen gegen Angriffe geschützt ist. Doch angesichts der fast täglich zunehmenden Bedrohungen könnte dies ein Versprechen sein, das sie nicht halten können. Ein besserer Ansatz, sagt Douglas, ist es, die Dinge zu identifizieren, die man kontrollieren kann.

Das beginnt damit, dem Vorstand zu versichern, dass die IT- und Cybersecurity-Organisation ihre Ressourcen bestmöglich nutzt, anstatt nach noch mehr Tools oder Investitionen zu fragen.

Wenn es tatsächlich Lücken in der Verteidigung des Unternehmens gibt, ist eine effektive Möglichkeit, den Vorstand darauf aufmerksam zu machen, einen Bereich für Kosteneinsparungen hervorzuheben und zu erklären, wie diese Mittel umverteilt werden können, um einige der Lücken ohne zusätzliche Mittel zu schließen. "Das schafft eine ganz andere Diskussion mit dem Vorstand, als wenn man hingeht und sagt, uns fehlt dieses und jenes", sagt Douglas. "Es ist eine ganz andere Geschichte."

A New Way to Measure and Report on Cyber Risk
Ein weiterer Fehler, den Führungskräfte im Bereich Cybersicherheit bei der Kommunikation mit dem Vorstand begehen, hat mit der Art der verwendeten Metriken zu tun. Die Cybersicherheit des Unternehmens anhand der Anzahl der installierten Produkte oder der Anzahl der Bedrohungen, die die Firewall im letzten Monat abgefangen hat, zu quantifizieren, ist kontraproduktiv, da diese Art von Informationen nicht den wahren Zustand der Unternehmensverteidigung vermitteln. Der Vorstand hingegen möchte wissen, wie gut das Cybersecurity-Team darauf vorbereitet ist, jegliche Angriffe zu entschärfen. "Sie wollen wissen, dass wir bereit sind, egal, was ein Angreifer uns vorsetzt", sagt Douglas. "Das bedeutet, dass wir von weitgehend quantitativen Metriken zu einigen eher qualitativen übergehen."

Solche Maßnahmen können die Bewertung des Bewusstseins der Mitarbeiter für Cybersecurity-Risiken und die Schritte, die sie unternehmen müssen, um diese zu mindern, das Risikoprofil des Unternehmens im Vergleich zu anderen Mitgliedern seiner Branche und die bisherigen Fortschritte bei der Schließung von Schwachstellenlücken umfassen. Um diese Informationen zu präsentieren, ist ein effektives Werkzeug ein Dashboard, das diese Maßnahmen im Laufe der Zeit visuell vergleichen und gegenüberstellen kann.

Die Verwendung eines solchen Dashboards kann Führungskräften im Bereich der Cybersicherheit einen Vorsprung im Vorstandszimmer verschaffen. Sie können die Bemühungen des Unternehmens zur Bewältigung der größten Cybersecurity-Risikofaktoren, einschließlich menschlicher Fehler und Ausnutzung der Marke des Unternehmens, messen, verfolgen und schließlich dem Vorstand darüber berichten. Ein solches Dashboard liefert eine Momentaufnahme, wie das Unternehmen mit Schulungen zum Cyber-Bewusstsein und den Bemühungen um den Markenschutz vorankommt - und zeigt auf, wo Fortschritte erzielt wurden und wo möglicherweise noch mehr Arbeit nötig ist.

Toshack erklärt: "Das verändert die Konversation von einer defensiven, bei der der Cybersecurity-Verantwortliche unter Erklärungsdruck steht, zu einer, bei der er oder sie in der Lage ist, zu zeigen, wie die Investitionen des Unternehmens die Sicherheitslage verbessert haben und was die Pläne zur Verbesserung in der Zukunft sind."

Douglas fügt hinzu, dass dies genau das ist, was der Vorstand wissen will: wie das Unternehmen abschneidet, wie es im Vergleich zu allen anderen abschneidet und welche Schritte unternommen werden, um eventuelle Schwachstellen zu beseitigen. "Wenn Sie diese Fragen beantworten können", sagt er, "wird der Vorstand das Vertrauen haben, dass Sie einen guten Job machen."

Was lässt sich daraus schließen?

CISOs und andere Führungskräfte im Bereich Cybersicherheit begehen einen Fehler, wenn sie ihren Termin mit dem Vorstand als eine Gelegenheit betrachten, um mehr Geld zu erhalten. Ein viel effektiverer Ansatz ist es, die wichtigsten Schwachstellen des Unternehmens zu beschreiben, die Schritte, die unternommen wurden, um diese Risiken abzusichern, und alle Schwachstellen oder Unzulänglichkeiten, die noch behoben werden müssen.

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

The Role of Executive Training in Building Cybersecurity Culture

Die wichtigsten Punkte: Eine Umfrage des Wall Street Journal...

Key Points: A Wall Street Journal survey found that compani… Read More >

Tobi Elkin

by Tobi Elkin

Mitwirkender Verfasser

Posted Aug 03, 2020

Arbeiten im Home Office macht Web-Sicherheit unerlässlich

Da pandemiebedingtes Remote-Working immer...

As pandemic-spurred remote working becomes a permanent arran… Read More >

Bill Camarda

von Bill Camarda

Mitwirkender Verfasser

Posted Jun 23, 2020

Cyber Awareness Training hilft bei der Verteidigung der Benutzer gegen Brand-Spoofing-Angriffe...

Die Wahrscheinlichkeit, dass Benutzer eher auf phi...

Die Wahrscheinlichkeit, dass Benutzer auf Phishing-E-Mails hereinfallen, ist größer... Weiterlesen >

Megan Doyle

von Megan Doyle

Mitwirkender Verfasser

Veröffentlicht 06. Juli 2020