Rawpixel.com - stock.adobe.com
Cyberrisiken und Unternehmenswachstum – paradox?
CISOs spielen eine wichtige Schlüsselrolle in Unternehmen, um der Geschäftsführung die Sicherheitslage und Risikosituation realistisch und nachvollziehbar zu vermitteln.
Rückblickend war das erste Halbjahr 2024 turbulent – mit hochkarätigen Cyberbedrohungen, die auf Unternehmen aller Branchen abzielten. Und dennoch haben laut einer kürzlich von Netskope durchgeführten Studie mehr als die Hälfte (57 Prozent) der Chief Information Security Officer (CISOs) ihre Risikobereitschaft für Cyberrisiken erhöht. Die CISOs haben jedoch nicht das Gefühl, dass dieses wachsende Vertrauen von ihren Führungskräften erwidert wird: Ein Drittel der CISOs sieht ihre CEOs als viel risikoscheuer an als sie selbst. Diese unterschiedlichen Risikoeinstellungen führen zu Spannungen mit der gesamten Führungsebene – wie neun von zehn CISOs berichten.
Daraus ergibt sich ein klares Gebot. CISOs müssen sicherstellen, dass sie bei ihrer Kommunikation eine Terminologie verwenden, die der Führungsebene vertraut ist und ihnen direkt den Nutzen zeigt, wie beispielsweise Umsatz- oder Geschäftswachstum. Andernfalls werden sie nie in der Lage sein, ihren Führungskräften das Vertrauen in den Sicherheitsansatz des Unternehmens und dessen Beitrag zu den Geschäftszielen zu vermitteln und so Wachstum und Innovation zu ermöglichen. Ein Unternehmen, das risikoscheu ist, wird sich nicht trauen, Innovationen voranzutreiben oder zu wachsen. Dies sollte der CISO kommunizieren können – er darf sich nicht auf die Förderung spezifischer technischer Maßnahmen versteifen.
Cyberrisiken ausbalancieren
Unternehmen müssen jeden Tag eine Reihe von Abwägungen treffen – zum Beispiel zwischen Innovation und Zuverlässigkeit, Investitionen und Gewinn oder Geschwindigkeit und Sicherheit. Jede Führungskraft trägt zur Gewichtung von Entscheidungen über Risiken bei. Traditionell wurde von CISOs als oberstem Beschützer der Informationswerte eines Unternehmens erwartet, dass sie an einem Ende dieser Skala agieren. Doch diese Rolle entwickelt sich weiter.
In den letzten zehn Jahren haben die CISOs ihre Rolle allmählich angepasst, da das Geschäft zunehmend digitalisiert und datengesteuert ist. CISOs sind nicht mehr auf Back-Office-Support-Funktionen beschränkt, sondern haben ihren Platz an der Seite ihrer Kollegen im Führungsteam bei umfassenderen Geschäfts- und Risikoentscheidungen eingenommen. Die von den CISOs zu schützenden Informationen stehen im Mittelpunkt von geschäftlichen Innovationsprojekten. Sie sind also die Schlüsselfiguren, die diese Innovationen vorantreiben (oder verhindern). Allerdings sind die meisten CISOs der Meinung, dass andere Mitglieder der Führungsetage immer noch nicht erkennen, dass die Rolle des CISOs Innovationen ermöglicht. Wie können sie die Bedenken der C-Suite in Bezug auf Cyberrisiken zerstreuen und dem gesamten Unternehmen helfen, ihre Position als Business Enabler zu sehen?
Sicherheit im gesamten Unternehmen verankern
Damit CISOs das Vertrauen des CEOs und des Vorstands in Cyberrisikobereitschaft stärken können, müssen sie sich die Zeit nehmen, deren Vorbehalte auszuräumen. Dies ist möglich, indem sie das Verständnis des Vorstands für die Bedrohungslandschaft und deren Zusammenhang mit ihrem Geschäft verbessern, vereinbarte Spielräume für die Risikotoleranz festlegen und die Maßnahmen darlegen, die der CISO zum Schutz des Lebenselixiers moderner Unternehmen ergriffen hat: Daten. Eine verbreitete Herausforderung besteht darin, den Wert der Cybersicherheit für die Steigerung des Geschäftsergebnisses greifbar zu machen.
Um dieses Problem zu überwinden, sollten CISOs das Thema neu formulieren und ihre Kollegen in der Führungsetage fragen, wie sie beständige Einnahmen erzielen können, wenn unkontrollierte Risiken das Geschäft lähmen? Das gilt nicht nur für den Vorstand und die Geschäftsführung: CISOs sollten proaktiv Beziehungen zu allen Abteilungen im Unternehmen aufbauen, um deren Prioritäten und Geschäftsziele zu verstehen und herauszufinden, wie die Sicherheit dazu beitragen kann, diese zu erreichen. Dabei geht es nicht mehr nur um die Verwaltung von Risiken, sondern auch um die Unterstützung der Geschäftsentwicklung. Durch die Schaffung von Verbindungen im gesamten Unternehmen können CISOs von einer rein defensiven Rolle des „Beschützers“ zu einer progressiven, proaktiven und übergreifenden Rolle übergehen.
Vertrauen schaffen durch Strategie, nicht durch Taktik
Wenn CISOs mit dem CEO über die Sicherheitslage sprechen, finden sie sich zu oft in taktischen statt in strategischen Gesprächen wieder. Von Führungsteams und Vorständen werden CISOs oftmals nach Zero Trust gefragt. Was also ist Zero Trust? Es handelt sich um ein Sicherheitsmodell, das auf der Prämisse beruht, dass niemandem blind vertraut wird und niemandem der Zugriff auf Unternehmensressourcen ohne ständige und detaillierte Überprüfung gestattet wird.
„CISOs sollten proaktiv Beziehungen zu allen Abteilungen im Unternehmen aufbauen, um deren Prioritäten und Geschäftsziele zu verstehen und herauszufinden, wie die Sicherheit dazu beitragen kann, diese zu erreichen.“
James Robinson, Netskope
Dieser populäre Trend hat sich auch bei nicht-technischen Führungskräften durchgesetzt. Es ist positiv zu betrachten, dass andere Führungskräfte sich mit der Cybersicherheitsinfrastruktur des Unternehmens befassen. CISOs müssen dieses Interesse der Kollegen an Zero Trust begrüßen und fördern. Sie können es als Ausgangspunkt nutzen, um die ihnen zur Verfügung stehenden Optionen zu skizzieren und eine langfristige Vision für die Sicherheitslage des Unternehmens zu entwickeln, die die Geschäftsanforderungen unterstützt.
Das Vertrauensparadoxon
Sowohl die Rolle des CISO als auch Zero Trust müssen einen inhärenten Widerspruch ausgleichen. Es mag kontraintuitiv erscheinen, dass ein CISO die Flexibilität und Geschwindigkeit eines Unternehmens insgesamt erhöhen kann, wenn die Außenwahrnehmung ist, dass ihr Schwerpunkt auf der Auferlegung von mehr Kontrollen liegt. In Wirklichkeit können CISOs ihren Kollegen in der Führungsetage dabei helfen, schneller und flexibler neue Umsätze zu erzielen, die Effizienz zu steigern und regulatorische Anforderungen zu erfüllen, gerade weil der CISO dafür gesorgt hat, dass das Unternehmen sicher ist. CISOs, die ihren CEOs vermitteln können, welchen Beitrag sie auf diese Weise zum Unternehmenswachstum leisten, können die Einstellung der CEOs zum Risiko insgesamt verändern.
Ein effektiver, moderner CISO sollte aufzeigen können, wie er die Risiken für das wertvollste Gut des Unternehmens – die Daten – managt und seinem CEO sowie seinen Kollegen den Freiraum gibt, kalkulierte Risiken einzugehen und Innovationen zu entwickeln. In den letzten zehn Jahren hat sich die Rolle der CISOs erheblich verändert. Sie streben zunehmend danach, als Berater und Unterstützer ihres CEOs und ihres Führungsteams gesehen zu werden. In der heutigen, unbeständigen Cyberumgebung gewinnen CISOs zunehmend an Selbstvertrauen, da sie der kühle Kopf im Raum sind, der dazu beiträgt, die Kollegen in der Führungsetage zu beruhigen und die Bedingungen zu schaffen, die sie für das Unternehmenswachstum benötigen.
Über den Autor:
James Robinson ist CISO bei Netskope. James Robinson verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Sicherheitstechnik, -architektur und -strategie. Seine Spezialisierung sind Dienstleistungen und Lösungen, die Führungskräften helfen, ihre Sicherheitsstrategien mithilfe von Innovationen zu verändern. Bevor er 2018 zu Netskope kam, hatte Robinson Führungspositionen bei diversen Fortune-500-Unternehmen inne. Robinson hat an der Webster University Wirtschaft und Management studiert und verfügt über eine Reihe von technischen Zertifizierungen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.