So gewinnt der CISO das Vertrauen des Vorstands
IT-Sicherheit ist für Unternehmen so wichtig, dass sich auch Geschäftsführungen damit beschäftigen sollten. Will der Chief Information Security Officer (CISO) im Management Gehör finden, muss er seine Ansprache anpassen.
Als Christopher Hetner, Security-Risk-Berater beim Beratungshaus Marsh, seine IT-Sicherheitsstrategie festlegen wollte, stellte er dem Management erst einmal eine Reihe von Fragen. Hetner wollte besser verstehen, wie der C-Level arbeitet und welche Anforderungen er an Security stellt. „Ich musste Vertrauen aufbauen, das Mindset verstehen, herausfinden, wie das Geschäft funktioniert und wie die Risikosituation aussieht“, sagt Hetner im Gespräch mit der COMPUTERWOCHESchwesterpublikation „CSO“. Während seiner Tätigkeit als Vice President für Informationssicherheit bei der Citigroup habe er direkt beim CFO gesessen, während dieser seiner Arbeit nachging. So konnte er erfahren, wovon der Erfolg des Unternehmens abhängt.
Für Hetner ist es wichtig, über den technischen Aspekt seiner Rolle hinauszugehen. Viele CISOs fühlen sich jedoch wohler mit technisch geprägten Kennzahlen und wenn sie mit dem Vorstand über Technologie sprechen. Damit präsentieren sie dem Board das Geschäftsrisiko aber nicht aus wirtschaftlicher Perspektive, wodurch die Tragweite ihrer Informationen womöglich nicht ankommt.
Einige der harten Kennzahlen sind laut Hetner tatsächlich wichtig, aber es gelte, eine andere Art von Dialog zu führen, der sich eher auf die potenziellen geschäftlichen Auswirkungen von Sicherheitsvorfällen konzentriert. So könne der CISO die Unternehmensstrategie besser unterstützen und zu einem geschätzten, vertrauten Berater des Vorstands werden.
Beraten statt vortragen
Viele CISOs halten Präsentationen für den Vorstand ihres Unternehmens, die ohne Folgen bleiben. Ein gutes Powerpoint-Deck allein ist nicht genug. „Das Ziel muss sein, das Vertrauen des Vorstands zu erlangen, damit der CISO seine Unterstützung bekommt, wenn er schwierige Dinge vorhat“, sagt John Pescatore, Director für Security-Trends beim Schulungsexperten SANS Institute.
„Wenn der Vorstand dem CISO vertraut, kann der seine Arbeit besser und schneller erledigen, notwendige Maßnahmen ergreifen und das Budget bekommen, dass er braucht“, sagt
Kris Lovejoy, globaler Cybersecurity-Chef bei Ernst & Young (EY). Das sei entscheidend, da Cyber-Sicherheitsrisiken sehr dynamisch seien. Der CISO müsse die Strategie und das Betriebsmodell schnell anpassen können. Hat er nicht den Rückhalt durch das Management und den Vorstand, wird das schwierig.
Für Unternehmen, die ihre Security-Funktion auf die strategische Ebene heben wollen, ist es wichtig, so ein Vertrauensverhältnis aufzubauen. Security kann dann zu einem vollwertigen Partner der Führungsebene werden und die strategischen Entscheidungen des C-Levels beeinflussen.
Security ist wichtig, aber kompliziert
Geschäftsführer wissen um die wichtige Rolle der Security. Die National Association of Corporate Directors (NACD) betrieb eine Umfrage unter den Geschäftsführern von mehr als 500 börsennotierten Unternehmen. Darin zählen die Befragten Cybersecurity-Bedrohungen zu den drei größten Risiken, die den Geschäftserfolg beeinflussen können. Auf den Spitzenplätzen: regulatorische Veränderungen und wirtschaftliche Stagnation.
Auch nach den Erhebungen von Gartner zählt Sicherheit zu den obersten Prioritäten. Bis 2020 werden die Vorstände aller großen Unternehmen mindestens einmal jährlich Berichte ihrer Führungskräfte über Cybersecurity- und technologische Risiken erwarten. Das ist ein Anstieg um 40 Prozent verglichen mit 2016. Dennoch scheint es eine Kluft zwischen den Sicherheitsverantwortlichen und dem Vorstand zu geben.
Ernst & Young (EY) befragte im EY Global Information Security Survey 2018/19 rund 1400 CLevel-Manager weltweit. 28 Prozent gaben an, dass der Vorstand und die Führungsebene kein umfassendes Verständnis von Informationssicherheit besäßen, um Cyber-Risiken und Schutzmaßnahmen vollständig bewerten zu können. Weitere 31 Prozent sagen, es gebe nur ein eingeschränktes Verständnis. Lediglich 39 Prozent glauben, ihre Geschäftsführung habe das nötige Wissen.
Des Weiteren besagt die Umfrage, dass nur 18 Prozent der Unternehmen IT-Sicherheit zu einem strategischen Bestandteil ihrer Agenda machen. Weitere 55 Prozent geben an, dass Security die Geschäftsstrategie nur geringfügig oder gar nicht beeinflusse. „Vorstände bekommen oft Reports vom CISO über ein ReifegradFramework mit roten, gelben und grünen Indikatoren zum Stand der Dinge. Sie verstehen aber nicht unbedingt, was sie sehen, und das verunsichert sie“, sagt EY-Mann Lovejoy.
CISOs verwirren ihre Vorstände oft mit zu technischen Präsentationen. Sie nutzen Kennzahlen aus der Security-Branche, um Erfolge zu markieren, die jedoch keine Erkenntnisse darüber liefern, welche Bedeutung das für das eigene Business hat. Sie reden über die Anzahl geblockter Phishing-Attacken und abgewehrter Viren oder die Patch-Rate. „Das ist nicht die
Art von Botschaft, die den Vorstand interessiert“, ergänzt Hetner.
Beide Seiten sind in der Pflicht
Allein den CISOs die Schuld zuzuschieben, wird der Sache jedoch nicht gerecht. Vorstandsmitglieder haben ihrerseits die Pflicht, sich auch mit Themen der IT-Sicherheit zu beschäftigen und zu verstehen, wie diese sich in die Strategien einfügen. Zudem müssen sie wissen, wie sie die Security-Funktion in ihrem Unternehmen am besten unterstützen können.
„Ein Vertrauensverhältnis aufzubauen ist eine beiderseitige Aufgabe. Der CISO möchte, dass der Vorstand ihn unterstützt, während der Vorstand wissen will, was der CISO tut. Sie müssen also zusammenarbeiten, um Erwartungshaltungen zu definieren, die der CISO erfüllen kann“, sagt Lovejoy. Es gebe selten absolutes Misstrauen, meistens fühlten sich Manager mit dem Verhältnis, dass sie zu den Sicherheitsverantwortlichen haben, eher unwohl.
Vier Anzeichen für Schwierigkeiten
Um herauszufinden, ob das Verhältnis zwischen dem CISO und dem Vorstand gut genug ist, nennen die Experten vier Indikatoren.
Keine Vorstandspräsentationen: Präsentiert der CISO nicht persönlich regelmäßig vor dem Vorstand, sondern beispielsweise über einen Stellvertreter, gibt es ein Problem. Laut Lovejoy sollte sich der CISO mindestens einmal im Jahr direkt mit dem gesamten Board austauschen. Zusätzlich hält er vierteljährliche Präsentationen vor einem zuständigen Aufsichtskomitee für hilfreich.
Keine Diskussionen: Gibt es nach solchen Präsentationen keine Diskussionen, ist das für Hetner ein Anzeichen, dass der CISO keine intensive Beziehung zum Vorstand hat. Nur wenn der Vorstand den Austausch sucht und konkrete Aufgaben stellt, ist das ein Indiz dafür, dass der CISO effektiv ist.
Falsche Fragen: Stellen Vorstandsmitglieder dem CISO Fragen, die sich laut Lovejoy auf „falsche Metriken“beziehen, ist das auch besorgniserregend. Wenn sie beispielsweise versuchen, geplante technische Maßnahmen zu
verstehen, haben sie vermutlich Schwierigkeiten, nachzuvollziehen, was der CISO ihnen zu beschreiben versucht.
Zu spät für Strategiediskussionen: CISOs, die sich nicht regelmäßig mit dem C-Level austauschen, um ihre Perspektive auf BusinessStrategien beizusteuern, genießen laut Lovejoy nicht das Vertrauen des Vorstands. Wird der IT-Sicherheitschef nicht direkt und frühzeitig in Strategiediskussionen einbezogen, bedeutet das, dass er nicht als relevant genug wahrgenommen wird, um hinsichtlich der Risiken bei Transformations-Initiativen zu beraten.
Drei Lösungsansätze
Um Vertrauen zum Vorstand aufzubauen, geben die Experten CISOs drei Taktiken an die Hand:
Die Risikotoleranz des Unternehmens kennen: Vorstand und CISO müssen eine gemeinsame Vorstellung haben, wie weit die Risikobereitschaft im Unternehmen gehen darf. Laut Rebecca Wynn, IT-Security-Leiterin und Datenschutzbeauftragte beim US-Healthcare-Dienstleister Matrix Medical Network, haben viele ihrer Kollegen in verschiedenen Branchen den Eindruck, der Vorstand sei mit dem Minimalstandard zufrieden und wolle Geld sparen.
In ihrem „2019 Governance Outlook: Projections on Emerging Board Matters“spricht die NACD von einem Graben zwischen Vorständen und Sicherheitsverantwortlichen. Demnach sagten 70 Prozent der befragten Geschäftsführer börsennotierter Unternehmen, sie müssten die bestehenden Risiken besser verstehen.
Wird nicht klar darüber gesprochen, welche Risiken der Vorstand bereit ist einzugehen, sollte der CISO das Gespräch suchen, rät Lovejoy. Er sollte klarmachen, dass er sich mit nahezu jedem Ziel arrangieren kann – er muss es nur kennen. Anschließend sollten CISOs verständlich machen, was ihr Security-Team genau tut, um dieses Ziel zu erreichen.
Schwachstellen in einen Business-Kontext setzen: Laut Hetner sollte der CISO offen über Schwachstellen sprechen. Er sollte Hindernisse für den Ausbau des Cyber-Sicherheitsprogramms erklären und kommunizieren, wie Cyber-Risiko-Management im gesamten Unternehmen umgesetzt werden kann. All das müsse in einem Business-Kontext geschehen.
Es gilt, Cyber-Angriffsflächen durch die wirtschaftliche Brille zu verstehen, zu bewerten und herauszuarbeiten, wie sie sich auf das Risiko-Management auswirken. CISOs müssen sich dahingehend entwickeln, dass sie einen Sinn für das Business sowie starke Kommunikations-Skills aufbauen. Cybersecurity müsse als strategisches Thema vermittelt werden, nicht als technisches.
Verbindungen knüpfen: CISOs sollten auch jenseits der regulären Präsentationen Anknüpfungspunkte mit dem Vorstand etablieren.
Laut Pescatore vom SANS Institute treffen sich andere C-Level-Manager oft informell untereinander und halten sich auf dem Laufenden. So bauen sie im Alltag eine starke Beziehung auf, die dabei hilft, in schwierigen Zeiten besser zusammenzuarbeiten. Das sollte auch dem CISO gelingen.
Wynn empfiehlt, einen Sponsor im Vorstand zu gewinnen, der den CISO dabei unterstützt, seine Initiativen voranzutreiben. „Es gilt, Zeit mit der Führungsriege zu verbringen und ihren Kommunikationsstil zu erlernen. Der CISO muss die Strategien und taktischen Pläne des Boards für die kommenden Jahre kennen und wissen, wie er sie am besten unterstützen kann. Wenn ein Vorstand nicht offen für eine engere Zusammenarbeit ist, sollten die Kommunikationskanäle weiterhin offen gehalten, aber auch alternative Partnerschaften ausgelotet werden.“