Der aktuelle Wirtschaftsabschwung hat für viele Unternehmen zu erheblichen Budgetkürzungen geführt. Aber Cyberbedrohungen eskalieren weiter und Unternehmen müssen sie ernst nehmen.
Das bedeutet, dass CISOs mehr denn je den Wert ihrer Cybersicherheitsprogramme gegenüber der Unternehmensleitung beweisen müssen. Aber wie können sie dies effektiv tun? Wir haben mit Tim Erlin, VP of Product Innovation bei SecurityScorecard gesprochen, um es herauszufinden.
BN: Wie hat sich die Rolle des Chief Information Security Officer (CISO) entwickelt?
TE: Die Entwicklung des CISO spiegelt in vielerlei Hinsicht die des CIO wider. Frühe CISOs waren in erster Linie Technologen, die mit erweiterten Führungsverantwortungen rund um die Sicherheit beauftragt wurden. Im Laufe der Zeit haben sich CISOs zunehmend auf das Geschäft konzentriert, da die Cybersicherheit zunehmend Einfluss auf das Endergebnis hat. Während die Verantwortung des CISO für die Cybersicherheit bleibt, wird er zunehmend damit beauftragt, sie mit dem Geschäft zu verbinden und in geschäftlicher Hinsicht zu kommunizieren. Die meisten modernen CISOs sind heute Führungskräfte aus der Wirtschaft, die sich auf Cybersicherheit spezialisiert haben, anstatt Technologen, die überrascht sind, sich im Vorstandszimmer wiederzufinden.
BN: Warum ist es wichtig, dass der Vorstand Cyberrisiken versteht?
TE: Cyber-Risiken wirken sich auf das Unternehmen aus und liegen daher durchaus im Zuständigkeitsbereich des Vorstands. Da sich die Cyber-Bedrohungslandschaft schnell weiterentwickelt, kann die Cybersicherheit nicht länger in der alleinigen Verantwortung von CISOs und Sicherheitsteams liegen. Die Geschäftsleitung und der Vorstand müssen ein klares Verständnis potenzieller Cyber-Bedrohungen für das Unternehmen haben, um fundierte Entscheidungen über die Investitionen und Ziele des Unternehmens treffen zu können. Eine erfolgreiche Entscheidungsfindung in Bezug auf Cybersicherheitsrisiken erfordert, dass CISOs technische Risiken in einer Sprache verstehen und kommunizieren können, die andere Führungskräfte verstehen. Während 88 Prozent der Vorstände verstehen bereits, dass Cybersicherheit ein Geschäftsrisiko ist, der Mehrheit der CISOs sagen, dass es eine Herausforderung ist, Cyber-Risiken in geschäftlicher Hinsicht richtig an ihren Vorstand zu kommunizieren.
BN: Warum tun sich CISOs schwer damit, Cyber-Risiken effektiv an ihren Vorstand zu kommunizieren?
TE: CISOs fehlt es an einer gemeinsamen Sprache, um Cybersicherheitsrisiken mit Führungskräften zu diskutieren. Vorstandsmitglieder sind es gewohnt, in finanzieller Hinsicht zu kommunizieren und zu diskutieren, wie sich Risiken und Chancen auf organisatorische Ergebnisse auswirken. Obwohl sie verstehen, dass Cybersicherheit wichtig ist, sprechen sie nicht die Sprache des Cybersicherheitsrisikos. Wenn CISOs Präsentationen auf Vorstandsebene erstellen, verwenden sie die Tools und die Sprache, die ihnen zur Verfügung stehen, was zu eher technischen als geschäftlichen Präsentationen führt. Das Endergebnis ist eine Trennung zwischen CISOs und dem Vorstand. Der Vorstand kreuzt das Kästchen „Überwachung der Cybersicherheit“ an, aber es hat kein sinnvolles Gespräch über Risiken stattgefunden.
Wenn CISOs nicht nachweisen können, dass das Geld, das sie in das Cybersicherheitsprogramm stecken, angemessen ist Da sie dem gesamten Unternehmen einen Mehrwert bieten, riskieren sie, Budgets zu verlieren oder das Unternehmen anfällig für Bedrohungen und Compliance-Probleme zu machen. In einem Extremszenario könnte der CISO sogar seinen Job verlieren.
BN: Haben Sie irgendwelche Empfehlungen, wie CISOs Cyber-Risiken am besten gegenüber der Geschäftsleitung und ihrem Vorstand artikulieren können?
TE: CISOs haben oft nur begrenzt Zeit mit dem Board, daher ist es wichtig, es effektiv zu nutzen. Identifizieren Sie eine Reihe von Metriken, die für das Unternehmen wichtig sind, und berichten Sie konsistent darüber. Vermeiden Sie Meldetätigkeiten und konzentrieren Sie sich auf Key Risk Indicators. Berichten Sie nach Möglichkeit in finanzieller Hinsicht. CISOs sollten Cyber Risk Quantification (CRQ) verwenden, um Cyber-Risiken in finanzielle Auswirkungen umzuwandeln. Durch die monetäre Bewertung des Cyberrisikos können CISOs ihrem Vorstand helfen, die finanziellen Auswirkungen zu verstehen, die ein potenzieller Cyberangriff haben könnte, einen Einblick in die Wahrscheinlichkeit von Cyberereignissen im Laufe der Zeit erhalten und den Rückgang der erwarteten Verluste messen, wenn Probleme gelöst werden. Die Szenarioplanung ist auch eine leistungsstarke Technik, mit der CISOs eine effektive Kosten-Nutzen-Analyse erstellen können. Beispielsweise können sie ihrem Vorstand zeigen, wie ein 150.000-Dollar-Cybersicherheitstool das Unternehmen vor einer prognostizierten Datenpanne in Höhe von mehreren Millionen Dollar schützt, was im Laufe der Zeit zu erheblichen Einsparungen führt.
CISOs sollten auch ihren Vorstand ermutigen, sich einzubringen ein Cyber-Experte. Ein Vorstandsmitglied mit starkem Bewusstsein und Hintergrund für Cybersicherheit kann den CISO unterstützen, indem es die Bedeutung seiner Cybersicherheitsinvestitionen verstärkt und effektiv auf Fragen reagiert.
BN: Welche Arten von Kennzahlen sollten CISOs überwachen, um sie zu kommunizieren Risiko?
TE: Um die Effektivität ihrer Lösungen und Prozesse zu überwachen, den Wert der Sicherheitsausgaben aufzuzeigen und die Leistung ihres Sicherheitsteams zu bewerten, müssen CISOs spezifische Kennzahlen festlegen. Die folgenden Metriken können CISOs helfen, ihrem Vorstand die wirklich wichtigen Zahlen zu zeigen, anstatt sich zu sehr in technische Details und Daten zu vertiefen, und sicherzustellen, dass die Konversation auf dem richtigen Niveau gehalten wird.”
Benchmarking: Eine der besten Möglichkeiten für Ein Gremium, um Risiken und Ausgaben zu verstehen, erfolgt durch Vergleich.CISOs sollten die Cybergesundheit ihrer Konkurrenten und Kollegen überwachen, um zu bewerten, wo ihre Cybersicherheitslage im Vergleich steht.Quantifiziertes Risiko: Wie oben erwähnt, ist die Berichterstattung in finanzieller Hinsicht entscheidend.Jedes Mal, wenn ein bestimmtes Risiko auftritt auf Vorstandsebene diskutiert wird, sollte der CISO in der Lage sein, Risiken, Wahrscheinlichkeiten und potenzielle Kosten darzustellen. Risiko durch Dritte: Durch die Überwachung der Sicherheitslage ihrer eigenen Anbieter und der Anbieter ihrer Anbieter können CISOs beurteilen, ob ihre Organisation es ist anfällig für Risiken durch Dritte Sicherheitsbewertungsplattformen können die Cyberhygiene ihrer Geschäftspartner und potenziellen Kunden mit einem Zahlenwert bewerten ct zu mehreren Cybersicherheits-und Datenschutz-Compliance-Standards. Der Vorstand sollte einen zusammenfassenden Bericht über den Compliance-Status sehen, da die Nichteinhaltung erhebliche Bußgelder nach sich ziehen kann. Reaktion auf Vorfälle: Vorfälle passieren und müssen angegangen werden. Vermeiden Sie hier die Aktivitätsmessung und konzentrieren Sie sich auf risikobereinigte Ergebnisse. Identifizieren Sie eine aussagekräftige Metrik, die besser ist als die mittlere Zeit bis zur Wiederherstellung (MTTR).Personal: Die Bedrohung durch Insider ist ein wesentliches Problem, und die Überwachung der Unternehmensfluktuation ist eine Möglichkeit, Risiken zu identifizieren. Das Cybersicherheitsteam selbst ist eine Schlüsselkomponente für den Erfolg, daher ist auch die Berichterstattung über den Teamzustand relevant.
Bildnachweis: Pixelbliss/Shutterstock