In fünf Schritten zum Business-orientierten Cybersecurity-Verantwortlichen
Eine unabhängige Studie über Geschäftsrisiken zeigt, dass Security- und Business-Bereich nachweisbare Ergebnisse liefern, wenn sie sich an gemeinsam vereinbarten Kontextdaten orientieren. Wir zeigen Ihnen, wie das möglich ist.
Lassen Sie uns Klartext reden: Cybersecurity hat ein massives Problem. Als Sicherheitsverantwortlicher werden Sie mit Daten völlig überschwemmt. Wir können Ihnen sagen, wie viele Schwachstellen es gibt. Wir können Ihnen sagen, wie viele Patches wir bereitgestellt haben. Wir kennen die neuesten Bedrohungen in- und auswendig. Doch trotz all dieser verfügbaren Informationen fällt es den meisten von uns schwer, die Frage „Wie sicher bzw. gefährdet sind wir?“ mit einem hohen Maß an Gewissheit zu beantworten.
Der Grund dafür? Uns fehlen entscheidende Informationen: der geschäftliche Kontext.
Die von uns verwendete typische Gleichung zur Berechnung der Sicherheits- oder Risikolage eines Unternehmens berücksichtigt Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen. Ohne geschäftlichen Kontext – d. h. ohne Verständnis davon, welche Assets für das zentrale Leistungsversprechen des Unternehmens am wichtigsten sind und welche Sicherheitskontrollen für diese Assets greifen – sind Ergebnisse von Berechnungen des Sicherheitsrisikos bestenfalls unvollständig.
Sicherheitsverantwortliche können den geschäftlichen Kontext aber nicht nachvollziehen, wenn sie isoliert in Silos arbeiten. Dazu ist ein Maß an strategischer Abstimmung zwischen Business- und Cybersecurity-Leadern erforderlich, das in den meisten Unternehmen nicht vorhanden ist. Eine von Forrester Consulting im Auftrag von Tenable durchgeführte Studie zeigt eine erhebliche Kluft zwischen Business und Sicherheit. Der Studie zufolge, die auf einer Umfrage unter 416 Sicherheitsverantwortlichen und 425 geschäftlichen Führungskräften basiert, geben nur 54 % der befragten Sicherheitsverantwortlichen und 42 % der geschäftlichen Führungskräfte an, dass ihre Cybersecurity-Ziele völlig oder weitgehend auf Geschäftsziele abgestimmt sind. Weniger als die Hälfte der befragten Sicherheitsverantwortlichen zieht laut eigenen Angaben bei der Entwicklung von Cybersecurity-Strategien regelmäßig geschäftliche Führungskräfte hinzu. Schlimmer noch, vier von zehn geschäftlichen Führungskräften konsultieren bei der Ausarbeitung von Geschäftsstrategien in ihrem Unternehmen nur selten – wenn überhaupt – die Sicherheitsverantwortlichen.
„Die größte Herausforderung könnte darin bestehen, das Interesse von Business-Verantwortlichen zu wecken und ihnen klar zu machen, dass die Verantwortung für Cybersecurity-Risiken eigentlich bei ihnen liegen sollte“, erklärt Jose Maria Labernia Salvador, Leiter des Bereichs IT-Sicherheit und interne Kontrolle von LafargeHolcim IT EMEA in Madrid, in einem Interview mit Tenable. „Cybersecurity ist ein Thema mit geschäftlichem Bezug, bei dem die IT eine wichtige Rolle spielt. Die IT kann Unterstützung und Anleitung bieten, doch Business-Stakeholder und die Geschäftsleitung sind entscheidende Faktoren der Gleichung.“
Die Studie von Forrester zeigt, dass Geschäfts- und Sicherheitsverantwortliche nachweisbare Ergebnisse liefern, wenn sie an einem Strang ziehen. So sind Business-orientierte Sicherheitsverantwortliche beispielsweise:
- Vorbereitet, Sicherheits- und Risikoberichte vorzulegen: Bei Business-orientierten Sicherheitsverantwortlichen ist es im Vergleich zu ihren eher isoliert arbeitenden Kollegen acht Mal wahrscheinlicher, dass sie ein hohes Maß an Vertrauen in ihre Fähigkeit haben, die Sicherheits- oder Risikolage ihrer Unternehmen zu quantifizieren.
- Bereit, den ROI ihrer Sicherheitsinitiativen nachzuweisen: Die überwiegende Mehrheit (85 %) der Business-orientierten Sicherheitsverantwortlichen verfügt über Metriken, um den Cybersecurity-ROI und die Auswirkungen auf die Geschäftsentwicklung zu verfolgen, im Vergleich zu nur 25 % ihrer eher reaktiv und isoliert agierenden Kollegen.
- Mit einem festgelegten Benchmarking-Prozess ausgerüstet: Fast 9 von 10 Business-orientierten Sicherheitsverantwortlichen (86 %) haben einen Prozess, in dem Erwartungen klar formuliert sind und kontinuierliche Prozessverbesserungen gegenüber ähnlichen Unternehmen und/oder internen Gruppen aufgezeigt werden. Bei nicht Business-orientierten Kollegen liegt dieser Wert bei nur 32 %.
Das soll jedoch nicht heißen, dass allein Sicherheitsverantwortliche dafür zuständig sind, diese Abstimmung im Unternehmen zu erreichen. Einige Unternehmen neigen aufgrund der Firmenkultur dazu, Silos aufzubauen. Wenn Sie in einem solchen Unternehmen arbeiten, könnte es immer schwierig sein, sich mit Ihren Business-Kollegen abzustimmen – so sehr Sie sich auch bemühen.
Wenn Sie sich unsicher sind, in welche Kategorie Ihr Unternehmen hinsichtlich der internen Abstimmung genau fällt, können Sie dies schnell feststellen: Wenn es in Ihrem Unternehmen eine Führungskraft mit dem Titel „Business Information Security Officer“ gibt, ist es im ausgereifteren Bereich der Skala anzusiedeln. Der Studie von Forrester zufolge verfügt die überwiegende Mehrheit von Unternehmen (80 %), in denen Sicherheit und Business eng kooperieren, über einen Business Information Security Officer (BISO) oder eine ähnliche Rolle, verglichen mit nur 35 % der in dieser Hinsicht weniger koordinierten Unternehmen.
Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen
Wenn Sie das Glück haben, für ein Unternehmen mit einer bereits relativ ausgereiften Abstimmung zwischen Business und Cybersecurity tätig zu sein, ist Ihr Weg zum Business-orientierten Sicherheitsverantwortlichen recht klar vorgezeichnet – auch wenn dabei noch viel Arbeit vor Ihnen liegt. Falls Sie aber für ein Unternehmen arbeiten, das sich auf der Skala des Reifegrads der Abstimmung am unteren Ende befindet, ist Ihr Weg mit deutlich größeren Herausforderungen verbunden. Da es keinen universellen Ansatz gibt, habe ich die folgenden Orientierungshilfen mit drei verschiedenen Optionen – basierend auf der Stufe des Abstimmungsreifegrads – für Sie zusammengestellt. Hoffentlich erweist sich eine der Optionen für Sie als geeigneter Ausgangspunkt.
Fünf Schritte für eine verbesserte Abstimmung mit Business-Stakeholdern auf jeder Stufe des unternehmerischen Reifegrads
Schritt | Geringe Abstimmung | Moderate Abstimmung | Hohe Abstimmung |
Schritt 1: Stellen Sie sicher, dass Sie die Geschäftsziele Ihres Unternehmens für das laufende Jahr verstehen. | Sie müssen höchstwahrscheinlich eigene Nachforschungen anstellen und sich mit öffentlich zugänglichen Dokumenten wie Gewinnprognosen und Geschäftsberichten befassen, um sich ein einigermaßen klares Bild der Prioritäten Ihres Unternehmens zu machen. | Hier könnte es erforderlich sein, an Gesprächen auf Leadership-Ebene (VP) sowie an All-Hands-Meetings teilzunehmen und nach anderen Möglichkeiten zu suchen, um sich mit Ihren Business-Kollegen zu verständigen. | Sie sind bereits bei wöchentlichen Meetings der Geschäftsleitung vertreten (andernfalls müssen Sie sich um Mitwirkung bemühen) und werden regelmäßig gebeten, Präsentationen vor dem Vorstand zu halten. Durch diese Tätigkeiten kommen Sie mit wichtigen Geschäftszielen in Berührung. |
Schritt 2: Bringen Sie in Erfahrung, wie diese Geschäftsziele Technologieentscheidungen beeinflussen. | Möglicherweise sind Sie auf Beziehungen zu Kollegen im gesamten Unternehmen angewiesen, um sich ein Bild von Ihren kritischsten Systemen und Assets zu machen. Achten Sie insbesondere auf Ausfälle und Vorfälle, um Bereiche zu ermitteln, die für wichtig gehalten werden. | Möglicherweise müssen Sie die Dinge selbst in die Hand nehmen und Gespräche mit VPs oder anderen Geschäftsbereichsleitern vereinbaren, um herauszufinden, welche Systeme am wichtigsten sind. | Sie können eine Bewertung der geschäftlichen Auswirkungen durchführen, indem Sie Ihre wichtigsten geschäftlichen Führungskräfte befragen, um ein klares Verständnis dafür zu erhalten, welche Systeme für die täglichen Abläufe in Ihrem Unternehmen am wichtigsten sind. |
Schritt 3: Kooperieren Sie mit Business-Stakeholdern, um sicherzugehen, dass geschäftlicher Kontext in Ihre Cybersecurity-Metriken einfließt. | Unter Umständen müssen Sie auf externe Quellen wie Branchenveranstaltungen, Fallstudien oder Networking-Gruppen zurückgreifen, um sich einen Gesamtüberblick über häufige Geschäftsanforderungen sowie wichtige Sicherheitsmetriken zu verschaffen und auf einer fundierten Vermutung beruhend zu entscheiden, welche für Ihr Unternehmen geeignet sind. | Möglicherweise haben Sie keinen direkten Kontakt zu Führungskräften, die Ihnen bei der Bestimmung des geschäftlichen Kontexts helfen können. Sie müssen Beziehungen zu Geschäftsführern oder Geschäftsbereichsleitern aufbauen und Branchenkollegen konsultieren, um sich ein Verständnis davon zu verschaffen, welche Metriken für Sie am sinnvollsten sind. | Bei diesem Schritt geht es einerseits darum, die richtigen Fragen zu stellen, und andererseits um die Identifizierung einer geringen Anzahl von Metriken, die für Ihr Unternehmen die größte Aussagekraft haben. |
Schritt 4: Priorisieren Sie Cybersecurity-Prozesse auf der Grundlage der Erkenntnisse, die Sie aus den oben genannten Schritten gewonnen haben. | Beginnen Sie damit, Lücken in Ihrem Prozess festzustellen (z. B. fehlende Daten zur Asset-Kritikalität), und entwickeln Sie dann eine Roadmap, um diese Lücken im Laufe der Zeit zu schließen. | Nun können Sie damit anfangen, Daten zur Asset-Kritikalität mit Bedrohungs- und Schwachstellendaten zu integrieren, um zu einem stärker risikobasierten Ansatz überzugehen. | Setzen Sie außerdem Automatisierung ein und verwenden Sie einen prädiktiven Ansatz, um Ziele des unternehmerischen Risikomanagements bei der Priorisierung von Bedrohungen und Schwachstellen zu berücksichtigen. |
Schritt 5: Kommunizieren Sie mithilfe von Benchmarks, die für Ihre Business-Stakeholder nachvollziehbar sind. | Erwägen Sie eine Zusammenarbeit mit externen Beratern, die Ihnen helfen, Ihre Kompetenzen im Bereich der Business-Sprache zu entwickeln. Dadurch sollte Ihr Ansehen bei Geschäftsverantwortlichen steigen, da Sie nicht nur Risiken bewerten, sondern auch das eigentliche Business. | Unter Umständen müssen Sie sich auf Ihre Beobachtungsgabe verlassen; achten Sie auf den Sprachgebrauch Ihrer geschäftlichen Kollegen und passen Sie Ihre Kommunikation entsprechend an. | Aufgrund der Subjektivität vorhandener Frameworks und des fehlenden Branchenkonsens hinsichtlich wichtiger Risikoindikatoren kann dieser Schritt selbst in Unternehmen mit hoher Abstimmung eine Herausforderung darstellen. Doch wenn Sie bereits ein hohes Maß an Abstimmung im Unternehmen erreicht haben, sollten Ihre Kollegen aus der Führungsebene ein offenes Gespräch bezüglich der Frage begrüßen, was sie wirklich wissen müssen – und was Sie in Ihren Berichten auslassen können. |
Quelle: Tenable, September 2020
Unabhängig davon, in welche Kategorie Ihr Unternehmen hinsichtlich des Reifegrads der Abstimmung genau fällt, tun Sie gut daran, den Ratschlag von Kevin Kerr, CISO von Oak Ridge National Laboratory im US-Bundesstaat Tennessee, zu befolgen. In einem Interview mit Tenable empfiehlt Kerr: „Der CISO muss seinen Schreibtisch hinter sich lassen und herumwandern. Mit Kollegen sprechen. Herausfinden, welche Sorgen und Zielsetzungen andere haben – auf den verschiedenen Ebenen von unten bis oben. Er muss verstehen, was vor sich geht, und darf nicht nur auf IT-Mitarbeiter hören, denn sie sind durch ihre IT-Perspektive abgestumpft. Er muss sich aus geschäftlicher Sicht ein Bild davon machen, was vor sich geht, und zuhören.“ Im Zuge der aktuellen COVID-19-Pandemie kann es natürlich sein, dass ein solcher Rundgang nur virtuell stattfinden kann. Doch ob persönlich oder über Zoom: Die Mühe lohnt sich – für Ihr Unternehmen und Ihre berufliche Laufbahn. „Dadurch ist Ihr Name anderen ein Begriff“, so Kerr. „Wenn Mitarbeiter wissen, dass Sie da sind, um ihnen zu zeigen, wie sie am besten ans gewünschte Ziel gelangen und das Unternehmen dabei weiterhin schützen, werden sie Ihre Beteiligung begrüßen. Ich möchte nie derjenige sein, der Innovation im Wege steht.“
Zu einem Business-orientierten Cybersecurity-Verantwortlichen zu werden ist kein Sprint, sondern ein Marathon. Es erfordert, dass man die Sprachen des Business und der Technologie gleichermaßen fließend beherrscht. Doch wie es in der Forrester-Studie heißt: „Moderne Sicherheitsbedrohungen erfordern einen neuen Ansatz.” Die Zukunft gehört Sicherheitsverantwortlichen, die bereit sind, Cybersecurity als Teil des Geschäftsrisikos zu managen.
Lesen Sie die Blog-Reihe: Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen
In den Blog-Beiträgen dieser Serie wurden die Herausforderungen bei der Abstimmung von Cybersecurity und Business behandelt sowie Gründe dafür, warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher bzw. gefährdet sind wir?“ zu beantworten. Außerdem untersuchten wir, was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen, erörterten die Frage, warum bestehende Cybersecurity-Metriken zu kurz greifen, erkundeten fünf Schritte für eine bessere Abstimmung mit dem Busines und boten einen Einblick in den beruflichen Alltag eines Business-orientierten Cybersecurity-Verantwortlichen.
Mehr erfahren:
- Weitere wichtige Erkenntnisse aus der Studie finden Sie hier
- Laden Sie die komplette Studie Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen herunter
- Lesen Sie diese Blog-Beiträge:
- Cybersecurity und Business in Einklang bringen: Niemand behauptet, es sei einfach
- Warum es Cybersecurity-Verantwortlichen schwerfällt, die Frage „Wie sicher sind wir?“ zu beantworten
- Was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen
- Kommunizieren von Geschäftsrisiken: Warum bestehende Cybersecurity-Metriken zu kurz greifen
- Laden Sie das Whitepaper Was es heißt, ein Business-orientierter Sicherheitsverantwortlicher zu sein herunter
- Lesen Sie das E-Book Die Entwicklung zum Business-orientierten Sicherheitsverantwortlichen
- Hören Sie sich die Cyber Exposure-Podcast-Reihe „Interview with Tenable CSO Bob Huber“ an
- Sehen Sie sich fogendes Webinar an: Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen
Verwandte Artikel
- Vulnerability Management