Jeder hat eine Rolle beim Schutz des Unternehmens zu spielen. Ob Sie nun Strategien entwerfen oder Lösungen umsetzen, die Bündelung von Maßnahmen zur Minderung kritischer Risiken sorgt für ein stärkeres, widerstandsfähigeres Unternehmen.
Wenn Sie das jüngste Webinar von Red Sift zum Thema „Von Daten zum Buy-in: Förderung der Cybersicherheit als oberste Unternehmenspriorität“ verpasst haben, sind Sie hier richtig. An der Sitzung nahmen die Diskussionsteilnehmer Christopher Hetner, Dominique Shelton Leipzig und Kumar Dasani teil, moderiert vom Geschäftsführer für Resilienzstrategie bei Red Sift, Sean Costigan.
Sehen Sie sich unten das Live-Briefing an oder scrollen Sie weiter, um die schriftliche Zusammenfassung zu lesen:
Wie priorisiert man Risiken und kommuniziert mit der Unternehmensführung?
Die Priorisierung von Cybersicherheitsrisiken ist entscheidend, um sicherzustellen, dass Ressourcen effektiv zugewiesen werden. Chris stellte jedoch fest, dass 70–72 % der Vorstandsmitglieder sich unwohl fühlen mit dem Grad an Risiko und Sichtbarkeit, den sie in Bezug auf Cyberbedrohungen haben, die ihr Unternehmen betreffen. Ein entscheidender Schritt ist die Identifizierung der größten Risiken, die eine systemische Bedrohung für die Organisation darstellen. Dazu gehört ein fundierter Ansatz zur Risikobewertung, wobei Kumar Unternehmen dazu auffordert, „zuerst vor der eigenen Tür zu kehren“, indem sie sich zunächst mit den Grundlagen befassen und Beispiele für interne Schwachstellen wie eine unzureichende MFA-Implementierung oder ungeschützte Endpunkte anführen. Als Teil eines ganzheitlichen Plans können solche grundlegenden Maßnahmen die Angriffsfläche erheblich reduzieren und gleichzeitig die Glaubwürdigkeit gegenüber dem Vorstand stärken.
„70–72 % der Vorstandsmitglieder fühlen sich unwohl angesichts des Risikos und der Sichtbarkeit von Cyberbedrohungen, die ihr Unternehmen betreffen.“
Christopher Hetner Berater für Cyberrisiken, NACD (National Association of Corporate Directors)
Effektive Kommunikation mit der Unternehmensführung war ein weiteres wichtiges Thema. Sean betonte, dass CISOs Cybersicherheitsrisiken in einer einfachen Risikosprache darstellen müssen, wobei sie sich auf umsetzbare Erkenntnisse statt auf überwältigende Details konzentrieren sollten. So stoßen beispielsweise Diskussionen über die finanziellen und betrieblichen Auswirkungen eines potenziellen Ransomware-Angriffs bei Vorstandsmitgliedern auf mehr Resonanz als Fachjargon. Dominique fügte hinzu, dass die Kontextualisierung von Risiken im Rahmen von Einnahmen, Betrieb und Strategie die Wahrscheinlichkeit erhöht, dass die Finanzierung und Unterstützung für notwendige Maßnahmen gesichert werden. Vorstände sind in Alarmbereitschaft: Eine aktuelle Analyse von 923 Aktionärsklagen in den letzten 12 Monaten zeigt, dass es in zwei Dritteln dieser Klagen um Datenschutz- oder Cybersicherheitsthemen ging, bei denen Vorstandsmitglieder namentlich genannt wurden.
Ebenso ist es für den Aufbau von Vertrauen unerlässlich, messbare Fortschritte vorzuweisen. Kumar wies darauf hin, dass Vorstände CISOs schätzen, die klar aufzeigen können, wie ihre Bemühungen systemische Risiken reduzieren und die Sicherheitslage des Unternehmens verbessern. Dazu gehört die Umsetzung schneller Erfolge und die ganzheitliche Ausrichtung von Investitionen in die Cybersicherheit auf die langfristigen Ziele des Unternehmens. Indem sie Sicherheit als strategischen Faktor darstellen, können CISOs ein tieferes Verständnis und Engagement der Unternehmensführung fördern.
Daten nutzen, um umsetzbare Entscheidungen zu treffen
Daten und Transparenz spielen eine entscheidende Rolle, wenn es darum geht, Risiken zu erkennen und Ressourcen effektiv zuzuweisen. Chris betonte, wie wichtig es ist, die Annual Loss Expectancy (ALE)-Analyse zu nutzen, um die finanziellen Auswirkungen potenzieller Bedrohungen zu quantifizieren. Dazu gehört die Analyse unternehmensspezifischer Faktoren, wie z. B. Branchen und Einnahmequellen, sowie externer Daten wie Risiken nach Sektoren, makroökonomische Trends und regulatorische Änderungen. Durch klare und umsetzbare Daten können CISOs Vorständen dabei helfen, Investitionen zu priorisieren und Cybersicherheit nicht als reaktive Ausgabe zu betrachten.
Die Diskussionsteilnehmer wiesen auch auf das wachsende Risiko durch Drittanbieter und Lieferanten hin. Chris gab bekannt, dass 70 % der Cybervorfälle von externen Quellen ausgehen, und betonte die Notwendigkeit einer kontinuierlichen Überwachung und Kontrolle. CISOs müssen die Risiken in der Lieferkette proaktiv bewerten und Maßnahmen zur Minderung von Schwachstellen umsetzen, wie z. B. regelmäßige Audits, vertragliche Sicherheitsanforderungen und fortlaufende Stresstests.
Eine kontinuierliche Sichtbarkeit der Risiken für den digitalen Bestand ist ebenfalls unerlässlich, nicht nur zur Risikobewertung, sondern auch zur Identifizierung von Verbesserungsmöglichkeiten. Dominique gab ein Beispiel dafür, wie wichtig klare, kontextualisierte Daten für einen Vorstand eines Fortune-500-Unternehmens sind, um entscheidende Maßnahmen für Sicherheitsinvestitionen zu ergreifen. Sie wies außerdem darauf hin, dass Organisationen umsetzbare Inventare der Assets des digitalen Nachlasses benötigen, um blinde Flecken zu beseitigen. Wenn Risiken mit potenziellen Geschäftsergebnissen verbunden sind – wie z. B. Umsatzsicherung oder Einhaltung von Vorschriften –, ist die Wahrscheinlichkeit höher, dass Vorstände Cybersicherheitsinitiativen finanzieren und die funktionsübergreifende Zusammenarbeit unterstützen.
Einbindung der Sicherheit im gesamten Unternehmen
Die Zusammenarbeit zwischen den Abteilungen ist für die Entwicklung einer robusten Cybersicherheitsstrategie von entscheidender Bedeutung. Die Diskussionsteilnehmer waren sich einig, dass CISOs sowohl eigenständig arbeiten als auch eng mit funktionsübergreifenden Teams zusammenarbeiten müssen. Dominique wies darauf hin, dass Silos durchbrochen werden müssen und CISOs nicht getrennt von anderen agieren sollten. Es muss ein integrierter Ansatz verfolgt werden, um technische blinde Flecken zu vermeiden, die CISOs möglicherweise nicht sehen. Durch Zusammenarbeit können blinde Flecken minimiert werden.
Proaktives Engagement ist auch der Schlüssel zur Förderung der Zusammenarbeit. Indem sie Sicherheit als gemeinsame Verantwortung begreifen, können CISOs Partnerschaften in der gesamten Führungsetage aufbauen und die Ausrichtung auf kritische Initiativen sicherstellen, anstatt eine einmal festgelegte Maßnahme einfach umzusetzen und dann zu vergessen. Chris fügte hinzu, dass dieser Ansatz den CISOs auch dabei hilft, sich als glaubwürdige Geschäftspartner zu positionieren, die zu Innovation und Wachstum beitragen.
„CISOs sollten nicht zögern, sich aktiv in Diskussionen einzubringen und zu zeigen, wie Cybersicherheit die übergeordneten Ziele der Organisation unterstützt.“
Kumar Dasani Preisgekrönter (und genesender) Global CISO
In Bezug auf die Budgets herrschte weitgehend Einigkeit darüber, dass Cybersicherheit Teil langfristiger Kapitalbudgets sein sollte. Innovationsbudgets können die Sicherheit in den Schatten stellen, aber die Integration von Sicherheit in Innovationsbudgets wird jetzt vorgenommen, die oft flexibler sind als eigenständige Zuweisungen für Cybersicherheit. Dominique merkte an, dass die Einbettung von Sicherheit in neue Projekte die Widerstandsfähigkeit erhöht und das kritische Verständnis von Cybersicherheit als Geschäftsfaktor stärkt. Durch die Ausrichtung der Cybersicherheit an den Prioritäten des Unternehmens können CISOs sicherstellen, dass sie ein integraler Bestandteil der strategischen Ausrichtung des Unternehmens bleiben.
Die Kluft zwischen Sicherheit und Strategie überbrücken
Zum Abschluss gab das Gremium den CISOs, die um den Durchbruch kämpfen, letzte Ratschläge, unter anderem, wie sie sich von der Wahrnehmung der Cybersicherheit als „Kostenstelle“ lösen können, bei der CISOs Sicherheitsstrategien an Unternehmensrisiken und -chancen ausrichten müssen, um die Zustimmung der Unternehmensführung und langfristigen Erfolg zu sichern und den Wert als Motor für die Widerstandsfähigkeit und Innovation des Unternehmens zu demonstrieren.
„Es wird immer wichtiger, Silos aufzubrechen und die Cybersicherheit in den Kern der unternehmerischen Entscheidungsfindung einzubetten.“
Dominique Shelton Leipzig CEO, Global Data Innovation
Kurz gesagt: Um die Herausforderungen der Cybersicherheit effektiv zu bewältigen, müssen sich CISOs darauf konzentrieren, Risiken zu priorisieren, Daten zu nutzen und die Zusammenarbeit zwischen den Abteilungen zu fördern. Durch die Abstimmung von Sicherheitsstrategien auf Geschäftsziele und eine effektive Kommunikation mit der Unternehmensführung und deren klare Vermittlung an den Vorstand können CISOs sinnvolle Fortschritte vorantreiben und sicherstellen, dass Cybersicherheit zu einem integralen Bestandteil der Widerstandsfähigkeit und Innovationskraft von Unternehmen wird. Der Weg nach vorne ist klar: Brücken bauen, sich auf das Wesentliche konzentrieren und Herausforderungen in Chancen verwandeln.
Es kann eine Herausforderung sein, zu verstehen, wie man Risiken mit den richtigen Tools und Prioritäten in Einklang bringt, aber Red Sift ist hier, um zu helfen. Seien Sie den schnell wachsenden Bedrohungen der Cybersicherheit immer einen Schritt voraus und verschaffen Sie sich einen Überblick über Ihre digitalen Assets, indem Sie noch heute mit dem Team sprechen.
Source: Red Sift-Blog
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Julian Wulff, Director Cyber Security Central Europe at Red Sift
Bild/Quelle: https://depositphotos.com/de/home.html