Wie man den CFO als Verbündeten für das Cybersecurity-Budget gewinnen kann

Eine der größten Herausforderungen im Bereich der Cybersicherheit ist die Beschaffung von Mitteln, um eine Organisation angemessen gegen die ständig wachsende Zahl von Cyberbedrohungen zu schützen. In der Tat gaben 66 % der Befragten des Mimecast-Berichts "State of Email Security 2023 " an, dass die Cybersicherheitsbudgets ihrer Unternehmen geringer sind als sie sein sollten - das ist ungefähr der gleiche Prozentsatz wie im Vorjahr.

Der CFO leitet in der Regel den Budgetierungsprozess eines Unternehmens und wird, insbesondere in Zeiten wirtschaftlichen Drucks, alle Investitionen genauer unter die Lupe nehmen. Aus diesem Grund ist eine enge Beziehung zwischen den Verantwortlichen für Cybersicherheit und Finanzen so wichtig.

CFOs wollen ihr Unternehmen auf keinen Fall einem erhöhten Cyber-Risiko aussetzen. Aber wenn es keinen regelmäßigen Informationsaustausch, keine Zusammenarbeit und kein Vertrauen zwischen dem CFO und dem CISO (oder einem vergleichbaren Sicherheitsverantwortlichen) gibt, kann genau das passieren. Eine Führungskraft im Finanzwesen, die nicht weiß, wie durchdringbar die führenden Cloud-basierten E-Mail- und Kollaborationsplattformen sind, könnte den Wert des Schutzes durch Dritte anzweifeln. Ein CFO in einem Unternehmen, in dem es zu keinem bedeutenden Sicherheitsverstoß gekommen ist, sollte das Schulungsprogramm zur Cybersicherheit möglicherweise reduzieren oder ganz streichen. 

Auf der anderen Seite sind unkontrollierte Ausgaben für Cybersicherheit auch nicht das Ziel. CISOs sollten die Strenge, die sich aus der finanziellen Prüfung ergibt, begrüßen, da sie ihnen helfen kann, Möglichkeiten für intelligentere Investitionen in die Cybersicherheit in ihrem Unternehmen zu erkennen. Aber auch - und gerade - in Zeiten wirtschaftlicher Unsicherheit ist es wichtig, Ressourcen für die Cybersicherheit in Form von Mitarbeitern, Prozessen und Technologien bereitzustellen, die dem Risikoprofil eines Unternehmens entsprechen. 

Aus all diesen Gründen ist eine kontinuierliche Partnerschaft zwischen Cybersicherheit und Finanzen für beide Geschäftsbereiche von Vorteil - und für das Unternehmen als Ganzes.

5 Wege zum Aufbau einer produktiven Beziehung mit dem CFO

Der Aufbau produktiver Beziehungen beginnt fast immer damit, eine gemeinsame Basis zu finden. Eines der Hauptanliegen, das Cybersicherheit und Finanzwesen gemeinsam haben, ist ihr gemeinsames Interesse an der Minderung von Unternehmensrisiken. In Anbetracht dieses gemeinsamen Ziels können Führungskräfte im Bereich der Cybersicherheit am meisten davon profitieren, wenn sie ihre Kollegen aus dem Finanzbereich als Verbündete bei der Budgetierung der Cybersicherheit ansprechen. Nachfolgend finden Sie fünf Maßnahmen, mit denen CISOs eine stärkere Cybersecurity-Partnerschaft mit dem Finanzwesen fördern können. 

1. Sprechen Sie die Sprache des CFOs: Die meisten Finanzchefs werden sich nicht mit den Feinheiten von Kennzahlen wie Verweildauer, Anzahl der bearbeiteten Warnungen oder der durchschnittlichen Zeit bis zur Behebung von Problemen befassen wollen. Eine Kommunikation auf dieser Detailstufe führt oft zu Frustration. Es ist viel besser, die Risiken der Informationssicherheit, den Schutz und die Abhilfemaßnahmen in geschäftlichen Begriffen zu erklären.

Sicherheitsverantwortliche können sich an risikobasierten Rahmenwerken wie dem FAIR-Modell (Factor Analysis of Information Risk) orientieren[1]. FAIR bietet eine Methode zum Verstehen, Messen und Analysieren von Risiken in Begriffen, die dem CFO wichtig sind: Dollar und Cent. Sie zieht eine klare Trennlinie zwischen Cyberrisiken und operationellen Risiken. Und das Framework, das Unternehmen bei der Quantifizierung des Risikos auf der Grundlage der tatsächlichen und vorhergesagten Häufigkeit und Auswirkungen von Cybersecurity-Ereignissen unterstützt, kann die Art von Klarheit und Präzision liefern, die CFOs bevorzugen. 

2. Kommunizieren Sie regelmäßig: Mit der Kontaktaufnahme mit dem CFO bis zum Höhepunkt der Budgetsaison zu warten, ist ein Rezept für das Scheitern der Finanzierung. Die besten Beziehungen entstehen durch häufige Interaktion. Michael Gordon, CFO von MongoDB, erklärte gegenüber CFO.com, dass er sich wöchentlich mit seinem CISO und dessen Team über Initiativen und Trends im Bereich der Cybersicherheit sowie über die allgemeine Unternehmensleistung austauscht. "Es gibt keinen Ersatz für eine regelmäßige Kommunikation", sagte er.[2] 

Es gibt nichts, was CFOs mehr hassen als Überraschungen. Regelmäßige Besprechungen geben dem CISO und dem CFO die Möglichkeit, Erkenntnisse, Bedenken und Fortschritte auszutauschen. Der Leiter des Finanzwesens kann die Finanz- und Budgetplanung aktualisieren und der CISO kann den CFO über neue Standards, Tools oder Bedrohungen informieren. 

Je häufiger diese Kontrollbesuche stattfinden, desto kürzer sollten sie sein. Es wird jedoch Fälle geben, in denen ein Sicherheitsverantwortlicher den Finanzverantwortlichen über ein für das Cyberrisiko oder die Finanzierung relevantes Thema aufklären muss. Ein neuer CISO, der feststellt, dass sich das Unternehmen auf eine Cyber-Versicherung als primären Cyber-Schutzmechanismus verlassen hat, wird den CFO zum Beispiel über die seismischen Veränderungen bei den Prämien und der Deckung informieren wollen. Oder ein Sicherheitsverantwortlicher möchte eine kurze Sitzung über die steigenden Gehälter im Bereich der Cybersicherheit abhalten.

3. Erstellen Sie das Budget mit: CISOs, die den von den CFOs überwachten Budgetierungsprozess verstehen, sind dem Spiel voraus. Kluge CISOs gehen mit diesem Wissen noch einen Schritt weiter und arbeiten mit dem CFO an ihren Budgets zusammen. 

Der CISO eines Hypothekendienstleisters erklärte beispielsweise gegenüber Mimecast , dass er seinen CFO als einen steuerlichen Verbündeten betrachtet, der ihm hilft, Investitionen des Vorstands für Cybersicherheits-Tools, Talente und Sensibilisierungsschulungen zu sichern. Der CISO trifft sich vierteljährlich mit dem Finanzvorstand seines Unternehmens, um das Cybersicherheitsbudget zu überprüfen und neue Finanzierungsanträge zu besprechen. Gemeinsam bereiten sie ein Deck vor, das der CFO dem Vorstand vorlegt, einschließlich einer Drei-Jahres-Übersicht über die wichtigsten Ausgaben für Cybersicherheit und deren voraussichtliche Erträge. Der CISO konnte die Investitionen in Tools und Personal aufstocken und unter anderem einen Cloud-Architekten einstellen, um die Sicherheit der Multi-Cloud-Umgebung des Unternehmens zu verbessern. 

4. Unterstützung einholen. Es kann sehr vorteilhaft sein, andere Mitglieder der Organisation, die die gleichen Interessen haben, zur Unterstützung bei der Beantragung von mehr Mitteln oder zur Aufdeckung ungenutzter Ressourcen heranzuziehen. Kollegen in der IT-Abteilung oder in den Risiko- und Compliance-Organisationen haben möglicherweise Cybersicherheitsinteressen und -budgets, die mit denen des CISO übereinstimmen. Durch die Suche nach Überschneidungen oder Entlassungen können zusätzliche Mittel für neue Cyber-Ausgaben freigesetzt werden. Oder es gibt die Möglichkeit, als Gruppe Budgets für Cybersicherheit zu entwickeln.

Sicherheitsverantwortliche sollten auch gute Beziehungen und eine regelmäßige Kommunikation mit dem Risikoausschuss des Vorstands pflegen, um die Ausschussmitglieder über die sich entwickelnde Bedrohungslandschaft und die vorhandenen Schutzmaßnahmen auf dem Laufenden zu halten. Auf diese Weise kann der Risikoausschuss eine wichtige Rolle in den Beziehungen zwischen CISO und CFO spielen. Beantragt der Finanzvorstand beispielsweise Budgetkürzungen, die das Unternehmen über die festgelegte Risikotoleranz hinaus belasten könnten, so verfügt der Risikoausschuss über genügend Informationen, um eine unabhängige Bewertung vorzunehmen - und gegebenenfalls zurückzuschlagen.[3]

5. Zeigen Sie Ihre Rendite: Um eine vertrauensvolle Partnerschaft mit dem CFO aufzubauen, müssen die Sicherheitsverantwortlichen zumindest finanzpolitische Verantwortung zeigen. Es ist nie eine schlechte Idee, niedrigere Anbieterpreise auszuhandeln und das Budget klug einzusetzen. Aber CISOs können ihr Ansehen bei den Finanzleitern wirklich erhöhen, indem sie den Zusammenhang zwischen Cybersecurity-Investitionen und Top-Line-Vorteilen herstellen. 

Die überwiegende Mehrheit (86 %) der Befragten der Deloitte-Umfrage "2023 Global Future of Cyber" gab an, dass Cyber-Initiativen einen signifikanten, positiven Beitrag zu mindestens einer wichtigen Geschäftspriorität geleistet haben[4]. Je mehr der CFO die Cybersicherheit als Umsatztreiber und nicht als Kostenstelle sieht, desto besser ist der CISO in der Lage, die zukünftige Finanzierung zu sichern. CISOs können zum Beispiel argumentieren, dass eine stärkere Cybersicherheit mehr Kunden anziehen, den Verkaufszyklus beschleunigen, die Betriebskosten senken oder die Betriebszeit erhöhen kann.

Die Quintessenz

Der Aufbau einer kontinuierlichen, kooperativen Beziehung zum CFO kann einige Zeit in Anspruch nehmen, aber die Investition lohnt sich. Die Zusammenarbeit mit dem CFO wird zwar nicht zu einem unbegrenzten Budget führen (und auch nicht dazu, dass ein CISO alles bekommt, was auf seiner Wunschliste steht), aber sie stellt sicher, dass der Vorstand und die Geschäftsführung die besten Informationen erhalten, um Entscheidungen über die Finanzierung der Cybersicherheit zu treffen. Lesen Sie mehr über den Stand der Cybersicherheitsbudgets im Bericht State of Email Security 2023 von Mimecast. 

[1 ] "FAIR lernen", FAIR Institut

[2 ] "Wie CFOs und CISOs starke Partnerschaften aufbauen können", CFO.com

[3 ] "Wie CISOs mit dem CFO zusammenarbeiten können, um das beste Sicherheitsbudget zu erhalten", DarkReading

[4 ] "2023 Global Future of Cyber Survey", Deloitte