Laut CISOs werden die Vorstände die Ausgaben für Cybersicherheit erhöhen, aber nur, wenn sie einen größeren Nutzen für das Unternehmen sehen.
In einer Grundsatzrede auf der Infosecurity Europe 2022 argumentierten sie, dass Unternehmen mehr als nur das Ausbleiben erfolgreicher Cyberangriffe sehen müssen, um die Ausgaben für Personal und Sicherheitstools zu rechtfertigen. Sie müssen wissen, dass die Ausgaben die Geschäftsziele unterstützen oder – im staatlichen und gemeinnützigen Sektor – einen Gegenwert für ihr Geld liefern.
Darüber hinaus müssen die CISOs ihre Sprache von technischen Diskussionen über Schwachstellen abwenden. Stattdessen sollte sich das Gespräch um Geschäftsrisiken und die Themen drehen, die dem Vorstand wichtig sind.
In der Rechtsbranche legen die Vorstände großen Wert auf den Schutz des Rufs ihrer Firma und das Vertrauen in den Schutz der Kundendaten, so Toks Oladuti, Global Deputy CISO bei der Anwaltskanzlei Dentons. Dieser Ruf wirkt sich auch auf den wirtschaftlichen Erfolg der Kanzlei aus. „Wir haben KPIs für das, was wir tun, um das Unternehmen bei der Gewinnung neuer Geschäfte zu unterstützen“, sagt er. „Unternehmen haben in den letzten zehn Jahren viel in technische Fähigkeiten investiert. Der Vorstand erwartet Ergebnisse.“
Samantha Hart, CISO beim professionellen Dienstleistungsunternehmen Davies Group, wies darauf hin, dass die Vorstände versuchen, Risiken zu quantifizieren, auch im Cyberbereich. Wenn ein CISO nur zeigen kann, dass das Unternehmen nicht angegriffen wurde, „ist das keine sehr verlockende Geschichte für mein Geld und meinen Personalbestand“, räumte sie ein. Dazu gehört auch, dass die Kosten von Sicherheitsmängeln transparent gemacht werden.
Außerhalb des kommerziellen Sektors berichten CISOs von ähnlichen Erfahrungen. Jon Townsend, CISO beim National Trust, sagte, dass es wenig Sinn macht, mit Vorständen über „Schwachstellen und CVEs“ zu sprechen. „Für Leute, die nicht in unserem Bereich arbeiten, ist das völlig bedeutungslos“, räumte er ein. Stattdessen müssen die Argumente für Ressourcen mit den Geschäftsergebnissen verknüpft werden.
„Wir sind eine Wohltätigkeitsorganisation, und wir sind unseren Unterstützern gegenüber rechenschaftspflichtig“, sagte er. Dazu gehört auch die Überwachung von Risiken in einer Lieferkette von etwa 28.000 Unternehmen, die von Einzelhändlern bis zu multinationalen Konzernen reichen.
Der Vorsitzende des Gremiums, Paul McKay, bat die Teilnehmer, ihre Erfahrungen mitzuteilen.
Townsend riet den CISOs, „neugierig“ zu sein und nichts für bare Münze zu nehmen, egal ob sie mit Lieferanten oder internen Kollegen sprechen.
Hart sagte, dass CISOs sich auf die Quantifizierung von Risiken konzentrieren müssen, da sich die Vorstände zunehmend in diese Richtung bewegen.
Oladuti schlug vor, dass CISOs sich Zeit nehmen sollten, um das Unternehmen zu verstehen und herauszufinden, was für den Vorstand und die Geschäftsführung wichtig ist. „Das hilft mir sehr, an Boden zu gewinnen“, sagte er.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
Fancy Bear nutzt Nuke-Bedrohungsköder, um 1-Klick-Bug auszunutzen