Vorstände und die Cybersicherheit verhalten sich oft wie ein Ehepaar, dessen Beziehung in stürmischen Gewässern fährt. Fragt man Eheberater was eine solche Ehe charakterisiert, berichten sie in der Regel, dass die zwei häufigsten Probleme ein Mangel an Kommunikation und Fehlkommunikation sind.
Dieses Thema wurde in zwei Studien von Osterman Research betont, die auf beiden Seiten untersucht haben, wie Unternehmen Zwischenfälle in der IT-Sicherheit und IT-Probleme intern vermitteln. Für das Whitepaper Reporting to the Board: Why CISOs and the Board are Missing the Mark wurden Security-Manager um ihre Ansichten zur Meldung von Sicherheitsvorfällen gebeten. Für How Boards of Directors Really Feel About Cybersecurity hingegen wurden Vorstandsmitglieder befragt, um ihre Ansichten über die Berichte, die sie von den Sicherheitsteams erhalten, kennenzulernen. Die Ergebnisse der Studien decken eine vielsagende Dissonanz auf.
Eine Beziehung in stürmischen Gewässern
Während beispielsweise nur 40 Prozent der Sicherheitsverantwortlichen berichteten, dass sie dem Vorstand Berichte mit verwertbaren Informationen zur Verfügung stellten, sagte die überwältigende Mehrheit (97 Prozent) der Vorstandsmitglieder, sie wüssten, was sie mit den zur Verfügung gestellten Informationen tun sollten. Darüber hinaus glauben nur 33 Prozent der Sicherheitsmanager, dass der Vorstand die in Berichten enthaltenen Informationen zur Cybersicherheit versteht, während 70 Prozent der Vorstände glauben, alles verstanden zu haben, was ihnen gemeldet wurde. Aufgrund dieser Differenzen, so die Berichte, sind die Sicherheitsverantwortlichen anfällig dafür, den Führungskräften zu sagen, was sie hören wollen, während 59 Prozent der Vorstandsmitglieder sagen, sie würden auf solche Praktiken mit einer Kündigung des Sicherheitsmanagers reagieren, weil er keine aussagekräftigen Informationen geliefert hat.
Eine Störung in der Kommunikation
Einer der wenigen Punkte, in denen die Befragten übereinstimmten, war, dass die in den Berichten verwendete Sprache eine effektive Kommunikation erschwerte. 75 Prozent der IT- und Sicherheitsfachkräfte sowie 66 Prozent der Mitglieder des Vorstands sagten, dass sie der Meinung sind, der Vorstand profitiere von Berichten, die keine Cybersicherheitsexpertise voraussetzen, um sie zu verstehen. Darüber hinaus äußerten die Vorstände ihre Präferenz für qualitative Informationen gegenüber quantitativen Informationen, um effektive Geschäftsentscheidungen treffen zu können. Aber bekommt der Vorstand diese qualitativen Informationen? Die Osterman-Studien sagen: „Vermutlich nicht.“
Der bekannte Grund dafür ist, dass die meisten IT-Sicherheitsteams unterbesetzt und überlastet sind. Deshalb konzentrieren sie sich auf jene Aufgaben, die zur Aufrechterhaltung der IT-Infrastruktur notwendig sind. Berichte stehen an letzter Stelle der Prioritäten. Darüber hinaus werden die Berichte über die Security des Unternehmens heute noch größtenteils manuell erstellt, was sowohl ressourcenintensiv als auch fehleranfällig ist, obwohl bereits knapp die Hälfte der von Osterman befragten IT- und Sicherheitsmitarbeiter eine Form der automatisiertem Business Intelligence zur Verbesserung ihrer manuellen Tabellenkalkulation einsetzte.
Beruhigung des Wassers durch Automatisierung
Durch den Übergang zu einer stärkeren Automatisierung des Sicherheitsrichtlinien-Managements können die Organisationen viele ihrer Herausforderungen in der Kommunikation zwischen Vorständen und IT-Sicherheitsteams lösen, die in den Berichten von Osterman Research hervorgehoben wurden. Intelligente Automatisierung reduziert die Abhängigkeit der IT-Teams von manuellen Berichten und erhöht die Genauigkeit. Darüber hinaus werden eine klare, konsistente und einheitliche Sprache und ein einheitliches Format für die Berichterstattung über die IT-Sicherheit festgelegt, die unternehmensweit standardisiert ist, auch wenn IT-Mitarbeiter kommen und gehen. Und durch den Einsatz von Tools zur Automatisierung des Sicherheitsmanagements, mit denen Schlüsseldaten zu Risiken und Schwachstellen gesammelt und mit Geschäftsprozessen verknüpft werden, können Sicherheitsverantwortliche problemlos die qualitativen Informationen bereitstellen, die das Board benötigt, um ihre Sicherheitsstrategien zu priorisieren und ihre Organisationen voranzutreiben.
Autor: Robert Blank, Regional Sales Manager DACH bei AlgoSec