Der CISO und der Vorstand von Shoemaker sprechen über Cyberrisiken

Der CISO eines bekannten Schuhherstellers und -händlers befindet sich in einer beneidenswerten Position. Der Vorstand seines Unternehmens erkennt die Cybersicherheit als eine wichtige Geschäftspriorität an, hat ein angemessenes Verständnis für das Thema und unterstützt die Bemühungen des CISO, die Cybersicherheit im Einklang mit den Geschäftszielen des Unternehmens aufrechtzuerhalten. 

Das war jedoch nicht immer der Fall.

Der Aufbau dieser Beziehung zum Vorstand ist etwas, auf das sich der CISO vom ersten Tag an konzentriert hat. In den ersten 12 bis 18 Monaten seiner Tätigkeit konzentrierte er sich bei seinen Kontakten mit den Vorstandsmitgliedern auf den Aufbau von Vertrauen und die Verbesserung ihres Verständnisses für Cybersicherheit. Die Aufrechterhaltung einer offenen Kommunikation, die Einordnung der Cybersicherheit in den Kontext der Geschäftsleute und die Bereitstellung von Weiterbildungsangeboten haben sich als produktiver Rahmen erwiesen, um den Vorstand aufzuklären und ihn als Verbündeten beim Management von Cyberrisiken zu gewinnen.

Nach nunmehr drei Jahren in seiner Funktion beschreibt der CISO einen Vorstand, der sich des Themas Cyber bewusst ist und eine aktive Rolle spielt. Die Cybersicherheit wird alle sechs Monate in einer detaillierten Überprüfung sowie in regelmäßigen Sitzungen des Prüfungs- und Risikoausschusses des Verwaltungsrats behandelt. "Es ist nicht nur ein Thema zum Umblättern", sagte der CISO. "Wir gehen sehr ins Detail, wenn es darum geht, den angestrebten Reifegrad zu erreichen. Einige nicht geschäftsführende Direktoren werden sich direkt an ihn wenden, um Fragen zu stellen und ihre Anliegen zu besprechen. 

Dieses Maß an Engagement und Wissen ist entscheidend. In einem demnächst erscheinenden Mimecast-Bericht, der auf ausführlichen Interviews mit Sicherheitsverantwortlichen basiert, heißt es: "Die Einbringung von Erkenntnissen zur Cybersicherheit auf Vorstandsebene erhöht die Wahrscheinlichkeit, dass die Führungskräfte in die richtige Mischung aus Technologie, Tools und Schulungen investieren, die das Unternehmen benötigt, um Cyberkriminalität effektiver zu bekämpfen". Der Bericht zeigt auch, dass es für Führungskräfte im Bereich der Cybersicherheit von Vorteil ist, einen Vorstand zu haben, der aus Mitgliedern besteht, die bereit sind, zu lernen und ihr Wissen zu erweitern.

Die Aufsicht des Verwaltungsrats als Chance begreifen

In einigen Unternehmen fürchten sich die Sicherheitsverantwortlichen vor dem Vorstand - und insbesondere vor dem Prüfungs- und Risikoausschuss des Vorstands -, weil dieser sie darauf hinweisen könnte, wo das Cybersicherheitsteam versagt. Aber das ist die falsche Sichtweise. "Ich sehe den Vorstand als einen Freund, der mir hilft, meine Ziele durchzusetzen", sagte der CISO des Schuhunternehmens. 

Wenn ein externes Audit eine rote Fahne aufwirft, kann der Vorstand eine entscheidende Rolle dabei spielen, auf eine Erhöhung des Budgets oder eine Änderung der Abläufe oder Verfahren zu drängen, um das Risiko zu mindern. Der CISO hat also keine Angst vor Überprüfungen oder Beiträgen auf Vorstandsebene, sondern begrüßt sie.  Er sagte: "Ich sehe das normalerweise so: 'Zeig mir, wo es schief läuft. Wenn ich etwas übersehen habe, sollten wir es nachholen". Das Erkennen dieser Lücken bietet die Möglichkeit, sie durch den Aufbau eines Teams oder die Anpassung der Strategie zu schließen, so der CISO weiter.

Aufbau eines gegenseitigen Verständnisses 

Wenn man sich die Zeit nimmt, den Verantwortungsbereich eines jeden Vorstandsmitglieds zu verstehen, trägt dies auch wesentlich zur Förderung positiver Beziehungen zu den Vorstandsmitgliedern bei. "Wenn Sie sich die Zeit genommen haben, ihren Geschäftsbereich zu verstehen", so der CISO, "dann werden sie sich auch die Zeit nehmen, Ihren Bereich zu verstehen". 

In der Tat haben die Direktoren des Schuhherstellers Interesse an Aktivitäten wie Lunch-and-Learn und Simulationstraining für Cyberangriffe gezeigt. Die Vorstandsmitglieder sind vielbeschäftigt, aber sie finden die praktische Ausbildung nützlich. "Es gibt ein großes Interesse am Selbststudium, das ich noch nie in einem Unternehmen gesehen habe", so der CISO. "Ich denke, dass dies ein Hinweis darauf ist, dass Cyber-Risiken heute für die meisten, wenn nicht sogar für alle Unternehmen eines der größten Risiken darstellen."

Der CISO kann nicht nur diese Aufklärungsmöglichkeiten bieten, sondern auch die Wahrnehmung des Vorstands in Bezug auf Cyber-Risiken festigen, indem er sie in den Kontext der Geschäftsziele des Unternehmens stellt. "Man muss dem Vorstand klar machen, welche Auswirkungen dies auf das Geschäft haben könnte", so der CISO des Schuhherstellers. Wenn z. B. eine Verbesserung des Sicherheitsniveaus in der Marketingabteilung diese Abteilung für mehrere Wochen ausbremsen würde, könnten diese Änderungen aufgeschoben werden, da das Risiko gering ist. 

Die Bedeutung von Alignment 

Ein gewisses Maß an Sicherheitsreife ist zwar das Ziel, sollte aber nicht auf Kosten des Betriebs erreicht werden. Schließlich wolle das Unternehmen Schuhe verkaufen, nicht Sicherheit, so der CISO. Jede Entscheidung, die er trifft, muss mit der Unternehmensstrategie in Einklang stehen. "Investiere ich nur zu Sicherheitszwecken oder wird es tatsächlich einen Mehrwert für die Unternehmensziele bringen?", fragte er. 

Dazu ist es erforderlich, die Risikobereitschaft des Unternehmens zu verstehen und zu bewerten, welchen Grad an Sicherheitsreife das Unternehmen bei bestimmten Abläufen erreichen kann, ohne den Geschäftsbetrieb erheblich zu verlangsamen. "Meiner Erfahrung nach hängt die Berücksichtigung von Cyber-Risiken von der Art der Aktivität und ihren möglichen Auswirkungen auf das Unternehmen ab", so der CISO. "Wenn ein Risiko auftaucht, messen wir, wie sich das Cyber-Risiko auf das Geschäftsrisiko auswirken könnte, oder wir messen das Cyber-Risiko im Vergleich zum Geschäftsrisiko, was sich dann darauf auswirkt, wie wir dieses Risiko managen."

Dies gilt auch für die Einschaltung von Dritten durch das Unternehmen. Der CISO prüft häufig den Sicherheitsstand von Lieferanten, mit denen das Unternehmen zusammenarbeiten möchte, und untersucht den Vertrag während der Verhandlungen, um sicherzustellen, dass die Sicherheits- und Datenschutzklauseln ausreichend sind und mögliche Risiken aufzeigen. Es hat Fälle gegeben, in denen der CISO darauf hinwies, dass der in Betracht gezogene Anbieter bestimmte Sicherheitskontrollen vermissen ließ und das Unternehmen die Verhandlungen abbrach, um einen anderen Anbieter zu finden.

In den letzten Jahren hat der CISO erheblich in Schulungen zum Thema Cybersicherheit investiert, Kontrollen und Technologien implementiert und seine Organisation auf 13 Mitarbeiter erweitert. Da von einer möglichen Rezession die Rede ist und viele Unternehmen nach Möglichkeiten suchen, den Gürtel enger zu schnallen, sieht der CISO eine Chance zur Optimierung. In Zukunft werde man sich darauf konzentrieren, "diese Investitionen zu verbessern und auszubauen, anstatt einfach nur um Geld zu bitten", sagte er. Die Cybersicherheit kann am besten zu den Unternehmenszielen beitragen, indem Möglichkeiten zur Konsolidierung ermittelt werden, ohne die Sicherheit zu opfern. 

Anstiftung zum Handeln ohne Alarmismus

Der CISO warnte davor, bei der Kommunikation von Cyber-Risiken an den Vorstand ( ) Panikmache zu betreiben. Folien, die Klagen und behördliche Bußgelder als Folge von Datenschutzverletzungen zeigen, werden die Direktoren nicht bewegen - sie sind sich wahrscheinlich bereits der Risiken bewusst, die in den Nachrichten auftauchen, sagte er.

Der CISO legt dem Vorstand auch keine Aufstellungen der blockierten E-Mails oder detaillierte Aufschlüsselungen der abgewehrten Vorfälle vor. Er informiert jedoch auf Anfrage über besondere Bedrohungen in den Nachrichten. Kürzlich bat der Vorstand um einen aktuellen Bericht über die Sicherheitslücke in Log4J, um sich zu vergewissern, dass das Problem keine Sicherheitsprobleme innerhalb des Unternehmens verursachen würde. 

Die nicht geschäftsführenden Direktoren können oft eine unterstützende Perspektive einbringen, die auf dem basiert, was sie in ihren eigenen Unternehmen sehen. "Es ist gut, wenn man jemanden hat, der einem bei seinen Vorhaben hilft", sagte er. "Das macht Entscheidungen viel einfacher." 

Die Mitglieder des Verwaltungsrats sind auch an der Bewältigung bestimmter Sicherheitsvorfälle beteiligt. Drei Vorstandsmitglieder sowie weitere Amtsträger (z. B. der Regionalpräsident, in dessen Bezirk sich der Vorfall ereignet hat) nehmen an dem Krisenreaktionsteam teil. Sie erhalten täglich Berichte über die Reaktions- und Eindämmungsmaßnahmen. Der Bericht, der am Ende eines jeden Tages erstellt wird, "ermöglicht es uns, weiter an der Bewältigung des Vorfalls zu arbeiten, so dass wir uns nicht nur auf die Berichterstattung und das Versenden von Mitteilungen konzentrieren". 

Selbst wenn es zu Sicherheitsvorfällen kommt, konzentriert sich die Berichterstattung nicht darauf, Schuldige zu benennen. Das ist eine sehr wichtige Denkweise, so der CISO. Sein Vorstand ist sich darüber im Klaren, dass es zu Sicherheitsvorfällen kommen kann - dies hat er dem Vorstand jedes Unternehmens, für das er gearbeitet hat, deutlich gemacht. "Jeder CISO, der Ihnen sagt, dass Sie 100 % Sicherheit haben können, lügt Sie an. Es geht eher darum, was wir implementieren, um das Unternehmen erfolgreich aus dem Vorfall herauszuführen und die Marke und den Aktienkurs zu schützen", erklärt der CISO. Diese Botschaft von Anfang an zu hören und an der Reaktion auf Vorfälle beteiligt zu sein, gibt dem Vorstand Vertrauen in die Cybersicherheitsstrategie des Unternehmens. 

Die Quintessenz

Die Aufrechterhaltung und Weiterentwicklung der Cybersicherheit ist eine zweiseitige Angelegenheit: Informierte und engagierte Vorstandsmitglieder übernehmen einen Teil der kollektiven Verantwortung für die Sicherheitslage des Unternehmens, und das Sicherheitspersonal interessiert sich auch aktiv für die Tätigkeitsbereiche der Vorstandsmitglieder und dafür, wie sich Sicherheitsmaßnahmen auf den Betriebsablauf auswirken können. Schulungsprogramme zum Thema Cybersicherheit können dazu beitragen, das Wissen zu verbessern und die Vorstandsmitglieder an den Tisch zu bringen, aber das Sicherheitsteam muss auch die Geschäftsziele der Organisation im Auge behalten.