In fünf Schritten zum Business-orientierten Cybersecurity-Verantwortlichen

Eine unabhängige Studie über Geschäftsrisiken zeigt, dass Security- und Business-Bereich nachweisbare Ergebnisse liefern, wenn sie sich an gemeinsam vereinbarten Kontextdaten orientieren. Wir zeigen Ihnen, wie das möglich ist.

Lassen Sie uns Klartext reden: Cybersecurity hat ein massives Problem. Als Sicherheitsverantwortlicher werden Sie mit Daten völlig überschwemmt. Wir können Ihnen sagen, wie viele Schwachstellen es gibt. Wir können Ihnen sagen, wie viele Patches wir bereitgestellt haben. Wir kennen die neuesten Bedrohungen in- und auswendig. Doch trotz all dieser verfügbaren Informationen fällt es den meisten von uns schwer, die Frage „Wie sicher bzw. gefährdet sind wir?“ mit einem hohen Maß an Gewissheit zu beantworten.

Der Grund dafür? Uns fehlen entscheidende Informationen: der geschäftliche Kontext.

Die von uns verwendete typische Gleichung zur Berechnung der Sicherheits- oder Risikolage eines Unternehmens berücksichtigt Assets, Sicherheitskontrollen, Bedrohungen und Schwachstellen. Ohne geschäftlichen Kontext – d. h. ohne Verständnis davon, welche Assets für das zentrale Leistungsversprechen des Unternehmens am wichtigsten sind und welche Sicherheitskontrollen für diese Assets greifen – sind Ergebnisse von Berechnungen des Sicherheitsrisikos bestenfalls unvollständig.

Sicherheitsverantwortliche können den geschäftlichen Kontext aber nicht nachvollziehen, wenn sie isoliert in Silos arbeiten. Dazu ist ein Maß an strategischer Abstimmung zwischen Business- und Cybersecurity-Leadern erforderlich, das in den meisten Unternehmen nicht vorhanden ist. Eine von Forrester Consulting im Auftrag von Tenable durchgeführte Studie zeigt eine erhebliche Kluft zwischen Business und Sicherheit. Der Studie zufolge, die auf einer Umfrage unter 416 Sicherheitsverantwortlichen und 425 geschäftlichen Führungskräften basiert, geben nur 54 % der befragten Sicherheitsverantwortlichen und 42 % der geschäftlichen Führungskräfte an, dass ihre Cybersecurity-Ziele völlig oder weitgehend auf Geschäftsziele abgestimmt sind. Weniger als die Hälfte der befragten Sicherheitsverantwortlichen zieht laut eigenen Angaben bei der Entwicklung von Cybersecurity-Strategien regelmäßig geschäftliche Führungskräfte hinzu. Schlimmer noch, vier von zehn geschäftlichen Führungskräften konsultieren bei der Ausarbeitung von Geschäftsstrategien in ihrem Unternehmen nur selten – wenn überhaupt – die Sicherheitsverantwortlichen.

„Die größte Herausforderung könnte darin bestehen, das Interesse von Business-Verantwortlichen zu wecken und ihnen klar zu machen, dass die Verantwortung für Cybersecurity-Risiken eigentlich bei ihnen liegen sollte“, erklärt Jose Maria Labernia Salvador, Leiter des Bereichs IT-Sicherheit und interne Kontrolle von LafargeHolcim IT EMEA in Madrid, in einem Interview mit Tenable. „Cybersecurity ist ein Thema mit geschäftlichem Bezug, bei dem die IT eine wichtige Rolle spielt. Die IT kann Unterstützung und Anleitung bieten, doch Business-Stakeholder und die Geschäftsleitung sind entscheidende Faktoren der Gleichung.“

Die Studie von Forrester zeigt, dass Geschäfts- und Sicherheitsverantwortliche nachweisbare Ergebnisse liefern, wenn sie an einem Strang ziehen. So sind Business-orientierte Sicherheitsverantwortliche beispielsweise:

• Vorbereitet, Sicherheits- und Risikoberichte vorzulegen: Bei Business-orientierten Sicherheitsverantwortlichen ist es im Vergleich zu ihren eher isoliert arbeitenden Kollegen acht Mal wahrscheinlicher, dass sie ein hohes Maß an Vertrauen in ihre Fähigkeit haben, die Sicherheits- oder Risikolage ihrer Unternehmen zu quantifizieren.
• Bereit, den ROI ihrer Sicherheitsinitiativen nachzuweisen: Die überwiegende Mehrheit (85 %) der Business-orientierten Sicherheitsverantwortlichen verfügt über Metriken, um den Cybersecurity-ROI und die Auswirkungen auf die Geschäftsentwicklung zu verfolgen, im Vergleich zu nur 25 % ihrer eher reaktiv und isoliert agierenden Kollegen.
• Mit einem festgelegten Benchmarking-Prozess ausgerüstet: Fast 9 von 10 Business-orientierten Sicherheitsverantwortlichen (86 %) haben einen Prozess, in dem Erwartungen klar formuliert sind und kontinuierliche Prozessverbesserungen gegenüber ähnlichen Unternehmen und/oder internen Gruppen aufgezeigt werden. Bei nicht Business-orientierten Kollegen liegt dieser Wert bei nur 32 %.

Das soll jedoch nicht heißen, dass allein Sicherheitsverantwortliche dafür zuständig sind, diese Abstimmung im Unternehmen zu erreichen. Einige Unternehmen neigen aufgrund der Firmenkultur dazu, Silos aufzubauen. Wenn Sie in einem solchen Unternehmen arbeiten, könnte es immer schwierig sein, sich mit Ihren Business-Kollegen abzustimmen – so sehr Sie sich auch bemühen.

Wenn Sie sich unsicher sind, in welche Kategorie Ihr Unternehmen hinsichtlich der internen Abstimmung genau fällt, können Sie dies schnell feststellen: Wenn es in Ihrem Unternehmen eine Führungskraft mit dem Titel „Business Information Security Officer“ gibt, ist es im ausgereifteren Bereich der Skala anzusiedeln. Der Studie von Forrester zufolge verfügt die überwiegende Mehrheit von Unternehmen (80 %), in denen Sicherheit und Business eng kooperieren, über einen Business Information Security Officer (BISO) oder eine ähnliche Rolle, verglichen mit nur 35 % der in dieser Hinsicht weniger koordinierten Unternehmen.

Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen

Wenn Sie das Glück haben, für ein Unternehmen mit einer bereits relativ ausgereiften Abstimmung zwischen Business und Cybersecurity tätig zu sein, ist Ihr Weg zum Business-orientierten Sicherheitsverantwortlichen recht klar vorgezeichnet – auch wenn dabei noch viel Arbeit vor Ihnen liegt. Falls Sie aber für ein Unternehmen arbeiten, das sich auf der Skala des Reifegrads der Abstimmung am unteren Ende befindet, ist Ihr Weg mit deutlich größeren Herausforderungen verbunden. Da es keinen universellen Ansatz gibt, habe ich die folgenden Orientierungshilfen mit drei verschiedenen Optionen – basierend auf der Stufe des Abstimmungsreifegrads – für Sie zusammengestellt. Hoffentlich erweist sich eine der Optionen für Sie als geeigneter Ausgangspunkt.

Fünf Schritte für eine verbesserte Abstimmung mit Business-Stakeholdern auf jeder Stufe des unternehmerischen Reifegrads

Quelle: Tenable, September 2020

Unabhängig davon, in welche Kategorie Ihr Unternehmen hinsichtlich des Reifegrads der Abstimmung genau fällt, tun Sie gut daran, den Ratschlag von Kevin Kerr, CISO von Oak Ridge National Laboratory im US-Bundesstaat Tennessee, zu befolgen. In einem Interview mit Tenable empfiehlt Kerr: „Der CISO muss seinen Schreibtisch hinter sich lassen und herumwandern. Mit Kollegen sprechen. Herausfinden, welche Sorgen und Zielsetzungen andere haben – auf den verschiedenen Ebenen von unten bis oben. Er muss verstehen, was vor sich geht, und darf nicht nur auf IT-Mitarbeiter hören, denn sie sind durch ihre IT-Perspektive abgestumpft. Er muss sich aus geschäftlicher Sicht ein Bild davon machen, was vor sich geht, und zuhören.“ Im Zuge der aktuellen COVID-19-Pandemie kann es natürlich sein, dass ein solcher Rundgang nur virtuell stattfinden kann. Doch ob persönlich oder über Zoom: Die Mühe lohnt sich – für Ihr Unternehmen und Ihre berufliche Laufbahn. „Dadurch ist Ihr Name anderen ein Begriff“, so Kerr. „Wenn Mitarbeiter wissen, dass Sie da sind, um ihnen zu zeigen, wie sie am besten ans gewünschte Ziel gelangen und das Unternehmen dabei weiterhin schützen, werden sie Ihre Beteiligung begrüßen. Ich möchte nie derjenige sein, der Innovation im Wege steht.“

Zu einem Business-orientierten Cybersecurity-Verantwortlichen zu werden ist kein Sprint, sondern ein Marathon. Es erfordert, dass man die Sprachen des Business und der Technologie gleichermaßen fließend beherrscht. Doch wie es in der Forrester-Studie heißt: „Moderne Sicherheitsbedrohungen erfordern einen neuen Ansatz.” Die Zukunft gehört Sicherheitsverantwortlichen, die bereit sind, Cybersecurity als Teil des Geschäftsrisikos zu managen.

Lesen Sie die Blog-Reihe: Die Entwicklung zum Business-orientierten Cybersecurity-Verantwortlichen

In den Blog-Beiträgen dieser Serie wurden die Herausforderungen bei der Abstimmung von Cybersecurity und Business behandelt sowie Gründe dafür, warum es Cybersecurity-Verantwortlichen schwer fällt, die Frage „Wie sicher bzw. gefährdet sind wir?“ zu beantworten. Außerdem untersuchten wir, was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen, erörterten die Frage, warum bestehende Cybersecurity-Metriken zu kurz greifen, erkundeten fünf Schritte für eine bessere Abstimmung mit dem Busines und boten einen Einblick in den beruflichen Alltag eines Business-orientierten Cybersecurity-Verantwortlichen.

Mehr erfahren:

• Weitere wichtige Erkenntnisse aus der Studie finden Sie hier
• Laden Sie die komplette Studie Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen herunter
• Lesen Sie diese Blog-Beiträge:
  • Cybersecurity und Business in Einklang bringen: Niemand behauptet, es sei einfach
  • Warum es Cybersecurity-Verantwortlichen schwerfällt, die Frage „Wie sicher sind wir?“ zu beantworten
  • Was COVID-19-Reaktionsstrategien über die Kluft zwischen Business und Cybersecurity aussagen
  • Kommunizieren von Geschäftsrisiken: Warum bestehende Cybersecurity-Metriken zu kurz greifen
• Laden Sie das Whitepaper Was es heißt, ein Business-orientierter Sicherheitsverantwortlicher zu sein herunter
• Lesen Sie das E-Book Die Entwicklung zum Business-orientierten Sicherheitsverantwortlichen
• Hören Sie sich die Cyber Exposure-Podcast-Reihe „Interview with Tenable CSO Bob Huber“ an
• Sehen Sie sich fogendes Webinar an: Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen