Rawpixel.com - stock.adobe.com

CISO-Leitfaden: Überzeugungsarbeit beim Vorstand leisten

Zero Trust ist einer der Eckpfeiler für eine sichere digitale Transformation. Für die notwendigen Veränderungen müssen Security-Verantwortliche im Unternehmen für das Thema werben.

Viele Unternehmen haben ihren digitalen Wandel nicht zuletzt aufgrund der Pandemie eingeleitet. Was eilig auf den Weg gebracht wurde, muss allerdings nicht selten unter Sicherheitsaspekten neu evaluiert werden. Organisationen waren gezwungen, den Prozess der Umstellung auf die Cloud im Eiltempo zu durchlaufen. Im Vordergrund standen dabei zunächst die Remote-Arbeit und die Aufrechterhaltung des Betriebs. Die wachsende Anzahl an Sicherheitsvorfällen in den letzten Jahren verdeutlicht, dass Sicherheitsaspekte eine nachgelagerte Priorität hatten.

Mit zunehmender Bedrohungslandschaft und der wachsenden Notwendigkeit für Unternehmen, sich durch Digitalisierungsinitiativen vom Wettbewerb zu differenzieren, gerät auch Cybersicherheit verstärkt in den Fokus von Geschäftsentscheidern. Für CISOs gilt es, die zusätzlichen Vorteile einer Cyberstrategie auf Basis von Zero-Trust-Prinzipien und -Rahmenwerken auf der Vorstandsebene zu positionieren. Dabei sollte Sicherheit nicht losgelöst von übergeordneten Initiativen wie der sicheren Transformation, hybriden Arbeitsweisen, der Aufrechterhaltung des Geschäftsbetriebs durch gesteigerte Agilität und Widerstandsfähigkeit sowie einer konsistenten Benutzererfahrung betrachtet werden. Unternehmen schrecken oft vor Sicherheitsinitiativen zurück, weil sie befürchten, dass die einzuführenden Sicherheitsmaßnahmen die Arbeitsprozesse komplizierter machen oder die Benutzererfahrung beeinträchtigen. Ein Cloud-basierter Zero Trust-Ansatz hilft durch moderne Sicherheitskontrollen dabei, diesen Bedenken entgegenzusteuern.

Überzeugungsarbeit bei der Geschäftsführung

Bei der Präsentation von Zero Trust auf Ebene der Geschäftsleitung ist es für CISOs wichtig, das Thema aus mehreren Blickwinkeln anzugehen. Die sicherheitsstrategische Perspektive sollte zwar im Mittelpunkt stehen, aber es gilt gleichzeitig ein Gesamtbild zu vermitteln. Deshalb ist es vorteilhaft, auch die operativen und kommerziellen Vorteile eines Zero-Trust-Modells einzubeziehen und zu erläutern, wie sich dieser Sicherheitsansatz positiv auf andere organisatorische Bereiche auswirken kann. Dazu zählen beispielsweise ebenso die technologische Modernisierung für Geschäftsbereiche und Produktion oder Services für das Personalwesen, der kulturelle Wandel zu hybriden Arbeitsformen oder finanzielle Einsparungen.

Die Gesprächsausrichtung für den CEO sollte auf die kommerziellen Vorteile ausgelegt werden und Zero Trust in den Kontext des Geschäftsbetriebs stellen. Es gilt, die Vorteile einer solchen Sicherheitsarchitektur mit den Leistungsindikatoren und Zielen der Führungsriege in Einklang zu bringen. Vor dem Gespräch mit dem Geschäftsleiter sollten dabei die leitenden Funktionen aller Geschäftsbereiche an Bord geholt werden.

Sicherheit – weiter gefasst

CISOs sollten sich bei der Identifizierung der besten Mittel zur Finanzierung ihrer Cyberinitiativen nicht auf Sicherheitsaspekte beschränken. Denn eine Zero Trust-Strategie kann ebenso in ein Programm zur Komplexitätsreduktion der Netzwerkarchitektur eingebettet werden. Daraus lassen sich Vorteile zur Steigerung der betrieblichen Effizienz ableiten, wenn beispielsweise technische Altlasten abgelöst werden könnten, die mit hohem personellen Verwaltungsaufwand einhergehen - vom Hardware-Lebenszyklusmanagement bis zur Optimierung des Personaleinsatzes für höherwertige Aufgaben. Auf diese Weise können Zero-Trust-Initiativen die Wertschöpfung erhöhen und dazu beitragen, Ziele im Hinblick auf Kosteneinsparungen zu erreichen. Zur Vereinfachung der Infrastrukturen trägt der Fokus auf wenige, strategische Plattformen bei, in die das Unternehmen bereits investiert hat.

Im Hinblick auf Kapital- und Betriebsausgaben kann die Einführung von Zero Trust der IT-Abteilung zwei Kostenvorteile bringen. Erstens profitiert das Team davon, sich auf hochwertige Sicherheitsaufgaben zu konzentrieren wie die Optimierung von Richtlinien anstelle von rein administrativen Aufgaben in Form von Patch-Management. Zweitens erlaubt eine Zero Trust-Plattform eine größere Agilität hinsichtlich künftiger Anforderungen. Dies ermöglicht eine Harmonisierung der Kontrollmechanismen innerhalb einer einzigen Plattform, so dass ein optimaler Nutzen aus Investitionen gewonnen werden kann. Entscheidend ist es, die Gesamtvision von Synergien aus Sicherheit und geschäftlichen Vorteilen darzustellen. Zero Trust dient dabei als Vehikel zur Realisierung verschiedenster Geschäftsvorteile und geht mit Opportunitätskosten durch technologische Vereinfachung bei gleichzeitiger Risikominderung einher.

Die Präsentation vor dem Vorstand

Der Vorstand ist nicht auf den operativen Betrieb fokussiert. Er soll vielmehr sicherstellen, dass sich das Management an strategischen Geschäftszielen orientiert. In Bezug auf Cyberrisiken konzentrieren sich der Vorstand sowie der Audit- und Risikoausschuss auf die Einhaltung der gesteckten Ziele hinsichtlich der Risikotoleranz und Kontrollmechanismen. Hier sollte sich der CISO bei der Präsentation des Zero-Trust-Konzepts an den beiden Hauptpfeilern Aufklärung und Governance orientieren.

Die Aufklärungsarbeit sollte eine allgemeine Sensibilisierung für Zero Trust beinhalten, die sich mit den jüngsten Sicherheitsverstößen in der Praxis befasst und aufzeigt, wie eine Zero-Trust-Architektur mit ihren Kontrollmechanismen das Risiko auf Makroebene reduzieren kann. Bei der Darstellung der ständigen Bedrohungslage kommt es auf eine vereinfachte Begrifflichkeit an, die sich am Geschäftsbetrieb orientiert. Sie muss auch diejenigen Vorstände ohne technischen Hintergrund ansprechen und als Teil einer fortlaufenden Aufklärungskampagne dazu beitragen, den Wert von Cybersicherheit zu transportieren. Gleichzeitig gilt es, das Management zu proaktivem, vorbeugendem Handeln zu bewegen, anstelle lediglich auf Sicherheitsvorfälle zu reagieren.

Heng Mok, Zscaler

„CISOs haben in der Regel nur eine Chance, den erforderlichen Rückhalt vom Vorstand für einen neuen Sicherheitsansatz zu erhalten. Um erfolgreich zu sein, sollte der Pitch für einen neuen Ansatz deshalb zuerst alle Stufen des Managements durchlaufen haben, um Verständnis dafür aufzubauen.“

Heng Mok, Zscaler

Im Hinblick auf die Betriebsführung sollten Kennzahlen in den Mittelpunkt gestellt werden, die dazu beitragen, die Risikobereitschaft richtig einzuschätzen. Zu den wichtigsten Fragen, die beantwortet werden müssen, gehören:

  • Welches sind die Metriken, die für eine Zero-Trust-Architektur sprechen?
  • Wie lauten die Metriken für die Wirksamkeit der Sicherheitsmechanismen?
  • Wie lässt sich damit die Reife der Cybersicherheit, die Einhaltung der Vorschriften und die Erfüllung gesetzlicher Auflagen verbessern?
  • Wie lässt sich damit nachweisen, dass das Risiko im Einklang mit der Risikobereitschaft gesteuert wird?

Je nachdem, wo sich eine Organisation auf ihrem Zero Trust-Weg befindet, sollten folgende Messgrößen einbezogen werden:

  • Wie viele Systeme sind bereits auf ein Zero-Trust-Rahmenwerk migriert, damit die Auffindbarkeit der betreffenden Assets minimiert ist?
  • Wie viel Zeit wurde durch den Wegfall eines Hardware-Asset Lifecycle-Managements eingespart?
  • Wie groß ist der Rückgang beziehungsweise der Abwärtstrend der Folgen und die Häufigkeit von Cybervorfällen, die von externen Quellen ausgehen?
  • Inwieweit hat sich die Cybersicherheit der Organisation verbessert?

IT-Teams können durch die Implementierung von Kontrollmechanismen als Teil einer Zero Trust-Architektur zum Risikomanagement beitragen. Diese Punkte auf Makroebene können Organisationen mit ihrem Risikorahmenwerk verknüpfen. Damit lässt sich Kapitalaufwand hinterlegen und sicherstellen, dass sich das Risiko innerhalb der als angemessen erachteten Grenzen bewegt.

CISOs haben in der Regel nur eine Chance, den erforderlichen Rückhalt vom Vorstand für einen neuen Sicherheitsansatz zu erhalten. Um erfolgreich zu sein, sollte der Pitch für einen neuen Ansatz deshalb zuerst alle Stufen des Managements durchlaufen haben, um Verständnis dafür aufzubauen. So wird sichergestellt, dass Unterstützung vom Führungsteam vorhanden ist, bevor die oberste Führungsebene abgeholt wird. Hier ist es von entscheidender Bedeutung, die Gesamtidee zu erörtern und die Technologie so zu kontextualisieren, dass Entscheidungsträger auch ohne Sicherheitsexpertise Zustimmung geben können.

Fazit

Neben der erfolgreichen Präsentation vor dem CEO und dem Vorstand ist die Unterstützung durch die wichtigsten Interessengruppen und Führungskräfte ein weiterer Bestandteil des Puzzles. Das Verständnis für die unterschiedlichen Anforderungen der verschiedenen Unternehmensbereiche und die Fähigkeit, Sicherheitsaspekte einzubeziehen, ist ein wichtiger Mechanismus zur Steigerung der Wertschöpfung.

Die erfolgreiche Skalierung der Sicherheit in einem Unternehmen erfordert die Unterstützung aller Beteiligten. Der Aufbau von Champions in verschiedenen Geschäftsbereichen ist entscheidend für die Steigerung des firmenübergreifenden Sicherheitspostulats und der höheren Gewichtung der Bedeutung von Sicherheit generell. Die Pflege dieser Beziehungen, das Aufzeigen von Kennzahlen und die Bereitstellung von Informationen und Transparenz festigen das gemeinsame Erreichen eines Ziels. Nicht zuletzt geht es darum, ein kollektives Verständnis zu erzielen, das allen Interessensgruppen den Wert von Zero Trust vermittelt.

Abgesehen von den bekannten Sicherheitsaspekten können Unternehmen durch den Einsatz von Zero Trust die digitalen Erfahrungen ihrer Belegschaft verbessern, die Transformation sicher durchlaufen und das Geschäftsmodell modernisieren. Für IT-Führungskräfte bietet sich eine Gelegenheit, Entscheidungsträger über das Potenzial von Zero Trust aufzuklären und es als wertvollen Geschäftsfaktor zu etablieren. Es ist das fehlende Glied, das Unternehmen dabei hilft, sich auf den Technologiewandel auch von Produktionsprozessen vorzubereiten

Über den Autor:
Heng Mok ist CISO AJP bei Zscaler.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Identity and Access Management (IAM)