Das geheime Leben von CISOs und Vorstandsmitgliedern

Diese wichtige Botschaft wurde mir vor ein paar Wochen bei einem Vorstandsdinner vor Augen geführt, als ein externer Direktor eine Frage stellte, die mich innehalten ließ: Werden wir beobachtet? Daraus entwickelte sich ein größeres Gespräch, das mir eine Menge Denkanstöße zu den Beziehungen zwischen dem CISO, dem Vorstand und ihren Organisationen insgesamt gab.

CISOs brauchen eine Stimme am Verhandlungstisch

Wie wir alle wissen, ist die Vertretung der Cybersicherheit auf Vorstandsebene schon lange nicht mehr dort, wo sie sein sollte. Die gute Nachricht ist, dass sich dieses Muster ändert: Gartner berichtet, dass bis 2025 40 % der Vorstände einen speziellen Cyber-Ausschuss haben werden, der von einem qualifizierten Vorstandsmitglied geleitet wird. Dieser organisatorische Wandel ist zu begrüßen, aber CISOs müssen auch ihre Soft Skills einsetzen und die Ohren offen halten für anstehende Diskussionen in ihrem Unternehmen, die sich auf die Cybersicherheit auswirken könnten.

Ein Beispiel: Ich war ursprünglich nicht zu dem oben erwähnten Vorstandsessen eingeladen worden, hörte aber davon und bot bei Bedarf meine Unterstützung an. Ich wollte die Situation vermeiden, in der kein Techniker im Raum ist, alle reden und schmieden Pläne, und ehe man sich versieht, muss man einen verrückten Antrag stellen.

Wie viele andere habe ich während des Covid aus der Ferne gearbeitet, und meine Garderobe war etwas unzureichend, also schnappte ich mir einen neuen Anzug und Schuhe und machte mich auf den Weg zum Abendessen. Die Veranstaltung fand in einem Restaurant mit einem großen runden Tisch statt, und jeder von uns hatte ein Tischset mit Informationen über Ransomware - eine gute Methode, um sicherzustellen, dass jeder ein paar Fakten zur Hand hat, über die er sprechen kann.

CISOs sollten vorbereitet sein - aber wir können nicht alles vorhersehen

Natürlich geht es bei der Vorbereitung nicht nur um Tischsets. Überlegen Sie sich, welche Fragen der Vorstand wahrscheinlich stellen wird und wie Sie in einer Sprache und mit Kennzahlen antworten können, mit denen die Teilnehmer etwas anfangen können. Aber manchmal wird man von einer Frage überrumpelt, egal wie gut man vorbereitet ist.

Wir besprachen unsere Taktiken, Strategien und Kontrollen im Zusammenhang mit Ransomware, und alles lief wie am Schnürchen. Dann sagte unser CFO: "Nun, letzte Woche habe ich eine merkwürdige Zahlungsaufforderung von unserem CEO erhalten, während er im Urlaub war." Dann wandte sich ein externer Direktor an mich und sagte: "Sie müssen jemanden haben, der den Kalender des CEO beobachtet. Ich dachte sofort an all unsere Kontrollen und daran, dass, wenn wir einen schlechten Akteur in unserem System hätten, dieser sicherlich mehr tun würde, als nur um die Bezahlung einer Rechnung zu bitten.

Daraufhin antwortete ich: "Das bezweifle ich, auch eine kaputte Uhr geht zweimal am Tag richtig." Sie schienen von meiner geistreichen, aber dennoch fundierten Antwort nicht beeindruckt zu sein und hielten es für wahrscheinlicher, dass wir von einem schlechten Schauspieler infiltriert worden waren, der nur auf seine Chance wartete. Das Gespräch wurde wieder aufgenommen, aber ich war nicht zufrieden damit, wie wir die Diskussion beendet hatten.

Die Art und Weise, wie Sie reagieren, ist entscheidend

Am nächsten Morgen überlegte ich mir meine Optionen. Wir könnten intern weitere Untersuchungen anstellen, aber wenn wir keinen schlechten Schauspieler haben, würde dieses Verfahren das Vorstandsmitglied - meinen neuen Interessenvertreter - beruhigen, dass wir von niemandem beobachtet werden? Letztendlich war ich der Meinung, dass wir eine Außenperspektive einnehmen müssen. Ich wandte mich an unsere externen Berater, The Missing Link, und bat sie, den Vorfall als Verstoß zu behandeln und eine Untersuchung und einen vollständigen Bericht zu erstellen.

Ich werde nicht auf die Einzelheiten der Untersuchung und ihre Ergebnisse eingehen, aber nach mehreren Wochen Arbeit, einschließlich einer Überprüfung von Daten und Anmeldeinformationen im Dark Web, kam der Bericht zu dem Schluss, dass kein böser Akteur beteiligt war. Der Zeitpunkt der E-Mail war dem Zufall überlassen: Es war das Szenario, bei dem "auch eine kaputte Uhr zweimal am Tag richtig geht".

Warum es sich lohnen kann, nichts zu finden

War ich also enttäuscht, dass wir Ressourcen in eine Untersuchung gesteckt hatten, nur um keinen Beweis für ein böswilliges Eindringen zu finden? Auf keinen Fall. Dies war eine ernstzunehmende Behauptung, und wenn jemand sie beobachtet hatte, mussten wir das wissen. Sie sollten zwar nicht in Panik geraten und auf jeden Schatten reagieren, aber Sie sollten auf jeden Fall Ihrer Erfahrung vertrauen, Hinweisen nachgehen und nach Beweisen suchen. Wenn Sie Ihre Prozesse häufig testen, insbesondere unter Zwang, können Sie Ihre Stärken und Schwächen besser einschätzen.

Bei diesem Vorfall haben wir auch die Bedenken eines Vorstandsmitglieds ernst genommen und es beruhigt. Es ist nicht immer einfach, Risiken, Bedrohungen und Haushaltserfordernisse auf Vorstandsebene zu kommunizieren, und das Erzählen einer Geschichte ist ein guter Weg, um den leitenden Kollegen zu helfen, die größeren Zusammenhänge zu erkennen. Meine Antwort beim Abendessen war nicht ausreichend. Ich musste tiefer graben und eine umfassendere Darstellung präsentieren, die unserem Vorstand zeigen würde, dass wir uns gründlich mit der Bedrohung auseinandergesetzt und festgestellt hatten, dass die E-Mail kein Zeichen für tiefere Probleme war.

Externe Experten können eine wichtige Rolle bei der Verstärkung interner Teams spielen

Manchmal braucht man eine externe Perspektive, um sich Gewissheit zu verschaffen. Wir tun dies bereits bei Finanzunterlagen, Steuerberatung und mechanischen Fehlern. Wir sollten dies auch im Bereich der Cybersicherheit berücksichtigen. Cyber-Teams können durch externe Perspektiven gestärkt und durch zusätzliche Ressourcen entlastet werden. Externe Untersuchungen und Berichte können Vertrauen schaffen, Ihre Cybersicherheitsstrategie bestätigen und zeigen, dass Sie bereit sind, flexibel zu arbeiten und wichtigen Vorfällen Priorität einzuräumen.

Vertrauen ist ein wesentlicher Bestandteil von Cyberoperationen

Bei diesem Abendessen mit Ransomware-Tischsets und mir in meinen neuen Schuhen gab es zwei wichtige Erkenntnisse: dass es wichtig ist, dabei zu sein, wenn es um Cybersicherheit geht, und dass sich eine Untersuchung zu 100 % lohnen kann, selbst wenn sie mit einer Entwarnung endet. Es zeigt, dass Sie bereit sind, auf Bedenken mit Investitionen und Beweisen einzugehen, anstatt sie einfach abzutun, weil Sie glauben, die Antwort zu kennen. Diese Investition schafft Kredit und Vertrauen. Beides ist von entscheidender Bedeutung, wenn Sie versuchen, die Interessengruppen zu beeinflussen und eine Cyber-Strategie zu entwickeln, hinter der Ihr Vorstand stehen kann.