So bauen Sie als Sicherheitsverantwortlicher ein Vertrauensverhältnis zum Vorstand auf
Die Berichtslinie vom CISO (Chief Information Security Officer) zum Vorstand wird meist als reaktive, wenn auch wichtige Verpflichtung verstanden. Schließlich muss die Unternehmensführung als oberstes Leitungsorgan im Rahmen des Corporate-Governance-Modells auf dem Laufenden gehalten werden und diese Aufgabe obliegt dem Gesamtverantwortlichen für die Informationssicherheit. CISOs melden üblicherweise Sicherheitslücken wie diethe Log4j-Schwachstelle, beantworten regulatorische Anfragen und informieren über Vorfälle aus der eigenen Branche. Doch der Kontakt zwischen CISOs und Vorstand sollte darüber hinausgehen.
Sicherheitsexperten sollten sich regelmäßig mit den Vorstandsmitgliedern austauschen, um sie auf den Stand der Dinge zu bringen und gegenseitiges Vertrauen aufzubauen. Denn letztendlich trägt die Zusammenarbeit mit der Unternehmensführung wesentlich zur Stärkung des Sicherheitsniveaus bei – und das kommt allen Beteiligten zugute.
Der Vorstand als vierte Verteidigungslinie
Mitunter wird der Vorstand lediglich als eine weitere Gruppe angesehen, denen die Sicherheitsverantwortlichen Bericht erstatten müssen. Dabei kann dieses Team von Führungskräften eine sehr viel wichtigere Rolle einnehmen
Man sollte sich den Vorstand als vierte Verteidigungslinie in der Sicherheitslandschaft eines Unternehmens vorstellen. Die erste Verteidigungslinie bilden die SecOps-Prozesse und -Funktionen, die tagtäglich von den Sicherheitsanalysten bei der Ersteinschätzung von Vorfällen genutzt werden. Die zweite besteht aus der Cybergovernance und die dritte umfasst das interne Auditing und Reporting. Damit ist die vierte Verteidigungslinie tatsächlich der Vorstand. Optimale Sicherheit erfordert, dass alle vier Instanzen effektiv miteinander kommunizieren, um Lücken zu verhindern und den Sicherheitsbetrieb kohärent zu gestalten.
Proaktiv Vertrauen bei den Vorstandsmitgliedern aufbauen
Damit der Vorstand als Sicherheitspartner und wirksame vierte Verteidigungslinie fungieren kann, müssen beide Seiten einander vertrauen. Dazu müssen Sicherheitsbeauftragte die folgenden drei Punkte, auf die Vorstandsmitglieder in der Regel besonderen Wert legen, erfolgreich umsetzen:
Markenschutz. Stellen Sie sicher, dass die Marke des Unternehmens in Bezug auf geistiges Eigentum, Geschäftsgeheimnisse und Ruf geschützt ist.
Profitabilität. Es ist Ihre Aufgabe, mit den richtigen Sicherheitskontrollen dafür zu sorgen, dass das Unternehmen profitabel arbeiten kan
Risikomanagement. Wählen Sie für Ihre Berichte an den Vorstand Themen aus, auf die Vorstandsmitglieder Wert legen und die aufzeigen, welche Folgen ein Cybersicherheitsvorfall für das Unternehmen haben könnte
Return on Security Investment (ROSI) als Kommunikationshilfe
Bei der Kommunikation mit dem Vorstand ist es wichtig, dass alle dieselbe Sprache sprechen. Vorstandsmitglieder sind nicht unbedingt Sicherheitsexperten und CISOs finden es daher nicht immer leicht, das richtige Maß an Fachjargon zu finden. Das kann so weit führen, dass sie dem Vorstand bestimmte technische Details vorenthalten, weil sie nicht wissen, wie sie diese Informationen technisch weniger versierten Personen vermitteln können.
Andere CISOs wiederum betonen die technische Seite eines Anliegens, sind aber nicht in der Lage, die damit verbundenen geschäftlichen Risiken auf eine Art und Weise zu schildern, die der Vorstand versteht. Idealerweise sollten sie es schaffen, die Aufmerksamkeit der Vorstandsmitglieder zu erregen und wirksam auf Risiken hinzuweisen, ohne ihre Zuhörer in Angst und Schrecken zu versetzen.
Wir von Unit 42 verwenden das ROSI-Modell (Return on Security Investment), um die Wirtschaftlichkeit einer Sicherheitsinvestition zu vermitteln. Es ist wichtig, dass CISOs in finanziellen Maßstäben ausdrücken, warum bestimmte, im ROSI-Modell verankerte Sicherheitsinvestitionen aus Ertragssicht sinnvoll sind – sprich: welche Assets durch die Investitionen auf welche Weise geschützt werden. Ihre ROSI-Berechnung sollte auch deutlich machen, welchen Nettoertrag das Unternehmen in Bezug auf das objektive (nicht subjektive) Sicherheitsniveau erzielt.
Das Framework von Unit 42 für die Risikokommunikation
Zu den Hauptaufgaben eines CISOs gehört es, den Vorstand auf proaktive und angemessene Weise auf Risiken aufmerksam zu machen.Unit 42 von Palo Alto Networks hat zu diesem Zweck unter Berücksichtigung der folgenden Schritte und Elemente ein Framework für die Risikokommunikation entwickelt:
Bestandsaufnahme: Sie können nur das schützen, von dem Sie wissen, dass es existiert. Bauen Sie daher ein solides Bestandsverzeichnis aller IT-Assets auf.
Identifikation der wichtigsten Assets: Ermitteln Sie, welche Assets den Kern des Geschäfts bilden. Dabei kann es sich um bestimmte Daten, Anwendungen oder eine Infrastruktur handeln.
Bewertung der Sicherheitstools:Ein Unternehmen muss wissen, wie gut die vorhandenen Sicherheitstools zum Schutz der wichtigsten Assets genutzt werden.
Bewertung der Incident-Response-ProzesseWenn wichtige Unternehmensassets von einem Sicherheitsvorfall betroffen sind, müssen Sie effektive und wirksame Gegenmaßnahmen einleiten können.
Testen und Validieren: Sie müssen Ihre Tools und Incident-Response-Funktionen kennen, testen und überprüfen, wie wirksam sie im Fall eines Cyberangriffs wären.
Resilienzeinschätzung für den Vorstand: Der letzte Schritt unseres Frameworks besteht darin, dem Vorstand zu zeigen, wie stark die Resilienz des Unternehmens gegenüber potenziellen Risiken ist. Legen Sie dem Vorstand praxistaugliche und objektive Analyseergebnisse vor und interpretieren Sie diese Ergebnisse auf geschäftsrelevante Weise.
Kennzahlen: Vorreiter statt Nachzügler
Unseren Beobachtungen zufolge melden viele Sicherheitsteams nur reine SOC-Kennzahlen wie die Anzahl von Angriffen, Alarmen und abgeschlossenen Vorfällen oder die Anzahl ungepatchter Betriebssysteme. Das gibt vielleicht Auskunft über den Fortschritt ihrer Bemühungen, sagt aber nichts über das Cyberrisiko aus. Derartige SOC-Metriken sollten als nachlaufende Indikatoren verstanden werden, die reaktive Abhilfemaßnahmen auslösen.
Wir empfehlen, dass CISOs zusätzlich Vorlaufindikatoren präsentieren, dieproaktive Sicherheitsinitiativen begründen. Ein gutes Beispiel für einen Vorlaufindikator wäre die Anzahl an Drittanbieter- oder Lieferkettenressourcen, für die im Laufe der letzten 12 Monate eine Risikobewertung durchgeführt wurde. So lässt sich zum einen erkennen, wie viele der Lieferkettenressourcen gefährdet sind, und zum anderen wird sichtbar, inwiefern das Unternehmen überprüft, ob diese Drittanbieter ihrer Sorgfaltspflicht nachkommen.
Empfehlungen für die erfolgreiche Kommunikation zwischen CISO und Vorstand
Der Weg zu einer fruchtbaren Zusammenarbeit mit dem Vorstand ist ein kontinuierlicher Prozess. Doch als Erstes müssen Sie eine Beziehung aufbauen. Lernen Sie die Vorstandsmitglieder kennen und versuchen Sie, zu verstehen, was ihnen in Bezug auf Geschäftsrisiken wichtig ist. Nur wenn Sie ihre Schwerpunkte kennen, können Sie ihnen verständlich machen, wie Sie ihre Interessen in Bezug auf Unternehmensassets und Geschäftsziele schützen.
Bei der Kommunikation mit dem Vorstand empfiehlt sich ein datengestützter Ansatz: Je weniger subjektiv Ihr Reporting ist, desto glaubwürdiger wirken Sie – schließlich präsentieren Sie Fakten. Allerdings ist es nicht damit getan, Zahlen und Daten auf PowerPoint-Folien darzustellen. Versuchen Sie es lieber mit Storytelling als Präsentationstechnik. Vorstandsmitglieder mögen die Struktur von Einleitung, Hauptteil, Höhepunkt und Schluss. Präsentieren Sie also nicht einfach nur Daten, sondern die Geschichte hinter den Daten.
Und denken Sie daran: Ihr Vorstand ist Teil der Lösung, die vierte Verteidigungslinie. Helfen Sie also mit, eine Verantwortungskultur zu schaffen, die dafür sorgt, dass sich jeder im Unternehmen für die Sicherheit zuständig fühlt.