Bojan - stock.adobe.com
Wie CISOs SOC-Risiken in Business-Prioritäten übersetzen
Cybersicherheit sollte in alle Geschäftsprozesse eines Unternehmens integriert sein und damit in Entscheidungen einfließen. Dafür müssen Risiken vom CISO richtig übersetzt werden.
Die Aufgabe des CISO hat sich grundlegend verändert. Über die Überwachung von Funktionen wie dem Patchen von Servern und der Bewertung von Bedrohungen hinaus wird von uns nun erwartet, dass wir Sicherheitsinitiativen mit übergeordneten geschäftlichen Prioritäten in Einklang bringen.
Dieser Wandel spiegelt die wachsende Erkenntnis wider, dass Cybersicherheit nicht nur ein technisches Anliegen ist, sondern eine strategische Notwendigkeit, die sich auf die Widerstandsfähigkeit, den Ruf und die finanzielle Leistungsfähigkeit eines Unternehmens auswirkt. Dennoch gelingt es den Führungsetagen oft nicht, eine Verbindung zwischen ihrer Sprache und den Daten herzustellen, die aus dem SOC (Security Operations Center) kommen.
Diese Diskrepanz oder die Unterschiede in der Sprache können genauso gefährlich sein wie die externen Bedrohungen, denen ein Unternehmen ausgesetzt ist. Wenn die Risiken einer Datenverletzung oder eines Ransomware-Angriffs nicht in klare geschäftliche Konsequenzen übersetzt werden können, verlieren wir die Unterstützung der Führungskräfte. Das Ergebnis ist ein Kampf um das Budget, während wichtige Sicherheitsinitiativen ins Stocken geraten. Es steht viel auf dem Spiel: Die Einhaltung gesetzlicher Vorschriften wie der DSGVO ist obligatorisch, und das Vertrauen der Kunden hängt vollständig von der Wirksamkeit der Strategien zum Schutz der Daten ab.
Dieser Rückstand in der Governance ist bei neuen Technologien besonders ausgeprägt. Laut einem Bericht von IBM verfügen 63 Prozent der Unternehmen noch immer über keine Richtlinien zur KI-Governance, wodurch ihre wachstumsstarken Initiativen ungeschützt bleiben.
Technische Daten in finanzielle Auswirkungen umwandeln
Das größte Hindernis für eine effektive Abstimmung ist die Herausforderung, Risiken über den technischen Dialog hinaus zu quantifizieren. Risiken müssen so quantifiziert werden, dass sie mit den Geschäftszielen in Einklang stehen und nicht nur mit den Anforderungen des technischen Teams.
Während SOC-Teams mit Begriffen wie Indicators of Compromise (IoCs), Anwendungsdaten, Phishing-Vektoren und Netzwerk-Patches arbeiten, legt der Vorstand den Schwerpunkt auf Marktanteile, Umsatz, Unternehmensrisiken und Quartalsziele. Die Präsentation rein technischer Daten führt oft zu einem Verlust des Engagements der Führungskräfte.
Accenture berichtet, dass bereits 88 Prozent der Vorstände Cybersicherheit als Geschäftsrisiko und nicht als isoliertes IT-Problem einstufen. Durch diese Verlagerung liegt es nun in der Verantwortung des CISO, die notwendigen Übersetzungen bereitzustellen, um das Engagement des Unternehmens sicherzustellen.
Der Vorstand muss sich nicht mehr mit Fachjargon auseinandersetzen, sondern die Sicherheitsverantwortlichen müssen sich die Sprache der Geschäftswelt aneignen. Auch die Berichterstattung muss sich weiterentwickeln, um die wichtigsten Unternehmensprioritäten widerzuspiegeln:
- Schutz des Kundenvertrauens und des Wachstums
- Aufrechterhaltung der Betriebskontinuität
- Schutz der geschäftskritischen Vermögenswerte, die Einnahmen generieren
Strategien für die Abstimmung zwischen CISO und Vorstand
Die Abstimmung der Cybersicherheit auf die Unternehmensziele erfordert einen bewussten, strukturierten Ansatz, der sich auf die Übersetzung, Neuformulierung und organisatorische Integration konzentriert.
Eine wirkungsvolle Veränderung besteht darin, dass nicht mehr darüber berichtet wird, was blockiert wurde, sondern darüber, was geschützt wurde. Jede Cybersicherheitsbedrohung muss als potenzielles finanzielles, betriebliches oder Reputationsrisiko betrachtet werden. Anstatt über Netzwerk- oder Serverprotokolle zu diskutieren, sollte der Fokus darauf liegen, technische Bedrohungen in ihre Auswirkungen auf Vertriebspipelines, Markenruf oder Bußgelder zu übersetzen. Dadurch verlagert sich der Fokus sofort von technischen Sicherheitsmaßnahmen auf das Risikomanagement.
Die Führungskräfte reagieren auf klare, umsetzbare Daten. Daher ist es unerlässlich, sich von der Anzahl der Warnmeldungen zu lösen und stattdessen Kennzahlen zu verwenden, die den Beitrag der Cybersicherheit zum Geschäft verdeutlichen. Dazu gehört die Mean Time to Resolution (MTTR), die dem Vorstand einen klaren Überblick über die Zeit gibt, die zur Eindämmung und Behebung eines Vorfalls benötigt wird – eine Kennzahl, die in direktem Zusammenhang mit den Betriebsausfallzeiten und der allgemeinen IT-Ausfallsicherheit steht. Darüber hinaus bieten Compliance-Bewertungen eine messbare Visualisierung der Einhaltung wichtiger Branchen- und Regierungsvorschriften.
„Aktive Kommunikation bedeutet auch, dass das SOC nicht auf eine Krise warten sollte, um Sicherheitsprobleme an die Führungskräfte weiterzugeben. Dieser wichtige Schritt stärkt das organisatorische Muskelgedächtnis und fördert das Vertrauen zwischen den technischen und den Führungsteams.“
Debbie Briggs, Netscout
Sicherheit muss in jede strategische Entscheidung einfließen
Anstelle von routinemäßigen monatlichen Präsentationen ist es für die Aufrechterhaltung von Transparenz und die Förderung von Vertrauen unerlässlich, regelmäßige Kommunikationskanäle mit dem Vorstand einzurichten. Durch die Implementierung von Dashboards für Führungskräfte, die klare Visualisierungen (im Gegensatz zu Tabellenkalkulationen) verwenden, wird auch der Status der Risikosituation und der Compliance sofort vermittelt. Das bedeutet, dass CISOs regelmäßige Briefings und Tabletop-Übungen planen sollten, damit Führungskräfte auf Cybervorfälle vorbereitet sind und ihre Rollen bei der Reaktion klar sind.
Obwohl laut NACD 77 Prozent der Vorstandsmitglieder die finanziellen Auswirkungen von Cybervorfällen diskutieren, fehlt es den meisten Vorständen noch immer an klaren Ausschussfunktionen für die Überwachung von Cyberrisiken und umfassenden Reaktionsplänen. Aktive Kommunikation bedeutet auch, dass das SOC nicht auf eine Krise warten sollte, um Sicherheitsprobleme an die Führungskräfte weiterzugeben. Dieser wichtige Schritt stärkt das organisatorische Muskelgedächtnis und fördert das Vertrauen zwischen den technischen und den Führungsteams.
Schließlich müssen CISOs sicherstellen, dass Cybersicherheitsaspekte in die Kerngeschäftsprozesse integriert werden – von der Entwicklung neuer Produkte bis hin zur geografischen Expansion, um letztendlich eine Kultur der Zusammenarbeit zu fördern. Sicherheit kann nicht am Ende als Zusatzfunktion hinzugefügt werden. Sie muss Teil der ersten Gespräche sein.
Über die Autorin:
Debbie Briggs ist Vice President und Chief Information Security Officer bei Netscout.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
