Unterstützung für CISOs
13 Merkmale sicherheitsbewusster Vorstände
Foto: marvent - shutterstock.com
Die Fluktuationsrate bei CISOs ist ausgeprägt. Nehmen wir an, Sie sind einer der vielen CISOs, die auf Jobsuche sind, und Sie haben zwei oder drei Ziele auf Ihrer Shortlist. Oder Sie werden gerade von einem potenziellen Arbeitgeber als nächster CISO rekrutiert. Oder Sie sind eine Sicherheitsfachkraft, die auf CISO-Ebene aufsteigen möchte. Eines der ersten Dinge, die Sie berücksichtigen sollten, ist die Sicherheitseinstellung des Unternehmensvorstands.
Der Vorstand ist zwar nicht für die täglichen Sicherheitsaktivitäten zuständig, gibt aber die Kultur vor, genehmigt finanzielle und politische Entscheidungen im Zusammenhang mit der Cybersicherheit und ist letztlich verantwortlich, wenn es zu einem Sicherheitsverstoß kommt.
Woran können Sie also erkennen, ob ein Vorstände mit der Cybersicherheit vertraut sind? Nach welchen Merkmalen sollten Sie suchen? Folgende Fragen können Ihnen weiterhelfen:
1. Gibt es im Vorstand mindestens einen Sicherheitsexperten?
Einige Unternehmen haben sich dafür entschieden, einen ausgewiesenen Sicherheitsguru in den Vorstand zu berufen. Doch William Guenther, Leiter des gemeinnützigen Advanced Cyber Security Center, hält dies nur für einen ersten Schritt auf dem Weg zu einem sicherheitsbewussten Vorstand. Ein Indikator dafür sei, wenn mehr als ein Vorstandsmitglied einen sicherheitstechnischen Hintergrund vorzuweisen habe.
Im Vorstand von General Motors sitzen beispielsweise der ehemalige VP of IS bei Lockheed Martin, der Mitbegründer und Co-CEO von Workday und die ehemalige CEO von Lucent Technologies, die jetzt Vorstandsvorsitzende von HPE ist.
2. Stellt der Vorstand gute Fragen?
"Niemand erwartet von Vorstandsmitgliedern, dass sie wissen, wie man eine Firewall konfiguriert. Aber sie sollten nicht nur Informationen aus einer detaillierten Präsentation des CISOs aufnehmen können, sondern auch die richtigen Fragen zurückspielen", meint der unabhängiger Sicherheitsberater Michael Figueroa.
Eine noch bessere aber seltene Eigenschaft sei es, wenn ein Vorstand sich nicht vom "Sicherheitsvorfall des Tages" leiten zu lassen, sondern in der Lage zu sein, Fragen zu stellen, an die die Unternehmensleitung noch gar nicht gedacht hat, sagt Guenther.
3. Welche Autorität hat der CISO?
Wenn der Vorstand eine Sicherheitsfrage hat, wird der Informationsfluss dann durch den CFO oder einen anderen Vermittler gefiltert, oder gibt es eine direkte Kommunikation zwischen Vorstand und CISO? Was die Organisationsstruktur angeht, empfiehlt Guenther, dass auch CISOs, die CIO oder CEO unterstellt sind, einen direkten Draht zum Vorstand aufbauen.
4. Führt der Vorstand regelmäßige und detaillierte Risikobewertungen durch?
Sicherheitsbewusste Vorstände sind in der Lage, ihre "Kronjuwelen", die kritischsten Datenbestände des Unternehmens, zu identifizieren und zu kategorisieren und Richtlinien zu deren Schutz festzulegen. Unternehmen können jedoch nicht alles schützen und müssen oft entscheiden, welches Risiko sie in Kauf nehmen wollen. "Ein weiteres wichtiges Merkmal eines sicherheitsbewussten Vorstands sind Verfahren zur Dokumentation dieser risikobasierten Entscheidungen", sagt Trip Hillman, Director of Cybersecurity Service bei Weaver. Seiner Meinung nach sei es wichtig, dieses "Stammeswissen" schriftlich festzuhalten, damit der Vorstand im Falle eines Sicherheitsvorfalls auf die getroffenen Entscheidungen zurückgreifen und diese analysieren kann.
5. Verfügt der Vorstand über sicherheitsrelevante Unterausschüsse?
Viele Vorstände haben Unterausschüsse, die sich mit bestimmten Bereichen wie Risikomanagement, Audit und Compliance befassen. "Sicherheitsbewusste Unternehmen binden an dieser Stelle den CISO ein, da all diese Bereiche eine wichtige Sicherheitskomponente aufweisen. Besonders sicherheitsbewusste Vorstände haben in selten Fällen auch spezielle Unterausschüsse für Cybersicherheit."
6. Trifft sich der Vorstand regelmäßig mit dem CISO?
Guenther sagt, er kenne einige Unternehmen, in denen der CISO nur einmal im Jahr 45 Minuten vor dem Vorstand sprechen kann: "Das ist eindeutig zu wenig , vor allem, weil sich die Bedrohungslandschaft so rasant verändert. Das Ergebnis ist, dass der CISO versucht, 50 Folien in eine Präsentation zu packen, die am Ende nicht in den Köpfen der Anwesenden bleibt. Vorstände sollten mehrmals im Jahr Aktualisierungen durch den CISO auf der Tagesordnung haben."
7. Werden IT-Budgets und Sicherheitsbudget dem zusammen vorgelegt?
Cyber-Budgets müssen als Teil des gesamten IT-Budgets betrachtet werden, und der CISO sollte die Möglichkeit haben, das Cybersicherheitsbudget zusammen mit dem CIO zu präsentieren, wie Guenther sagt. Der Experte weist darauf hin, dass Vorstände, die Sicherheit nur als Kostenfaktor betrachten, Möglichkeiten zur Verbesserung der allgemeinen Sicherheitslage des Unternehmens verpassen. Eine der besten sicherheitsrelevanten Maßnahmen, die ein Unternehmen ergreifen könne, sei beispielsweise die einfache Außerbetriebnahme eines Altsystems, das vom Anbieter nicht mehr unterstützt wird und zu einem Sicherheitsrisiko geworden ist.
8. Bezieht der Vorstand Sicherheitsbelange in alle Diskussionen ein?
Vorstände treffen wichtige strategische Entscheidungen – etwa in Bezug auf die digitale Transformation, Fusionen und Übernahmen oder Partnerschaften mit Dritten. Ein sicherheitsbewusster Vorstand wird den Sicherheitsaspekt in all diese Diskussionen einbeziehen. Wenn der CIO eine Initiative zur digitalen Transformation vorstellt, sollte der CISO Teil dieser Präsentation sein. Wenn ein Unternehmensleiter irgendeinen Plan vorstellt, sollten auch die Auswirkungen auf die Sicherheit erörtert werden.
9. Erhält der Vorstand eine Sicherheitsschulung?
Unabhängig davon, wie anspruchsvoll das Board ist, sind regelmäßige Sicherheitsschulungen für die Vorstandsmitglieder immer von Nutzen, damit sie mit den sich ändernden Bedingungen – COVID-19, Fernarbeit, Engpässe in der Lieferkette – Schritt halten können, die neue Sicherheitsherausforderungen schaffen. "Diese Art von Schulung sollte von einem externen Experten durchgeführt werden, der eine breite branchenweite Perspektive bieten kann", sagt Hillman.
10. Orientiert sich der Vorstand selbst an einer soliden Cybersicherheitshygiene?
"Ein Merkmal für ein sicherheitsbewusstes Gremium ist, ob seine eigene interne Kommunikation sicher erfolgt", sagt Hillman. "Kommuniziert der Vorstand über private Kanäle? Werden sensible Dokumente verschlüsselt? Verwenden sie sichere Methoden für Videokonferenzen oder Zusammenarbeit? Wenn das Unternehmen eine Technologie zur Verhinderung von Datenverlusten (DLP) einsetzt oder Zero Trust für alle Mitarbeiter einführt, werden diese Sicherheitsmaßnahmen auch auf den Vorstand angewendet?"
11. Verwendet der Vorstand Benchmarks, um das Sicherheitsniveau zu messen?
Unternehmen führen routinemäßig alle Arten von sicherheitsrelevanten Übungen durch, zum Beispiel Penetrationstests, Schwachstellenbewertungen, Defender-Team- oder Red-Team-Übungen. Werden die Ergebnisse dieser Aktivitäten dem Vorstand mitgeteilt und als Benchmarks verwendet, um die Sicherheitsvorkehrungen im Laufe der Zeit zu messen? "Vorstände müssen Dinge wie Patch-Management-Raten, Schwachstellenkontrollen und die Reaktion auf Zwischenfälle bewerten müssen", meint Hillmann.
12. Fördert der Vorstand die Sicherheitskultur im gesamten Unternehmen?
Gibt es zum Beispiel ein starkes Programm für die Ausbildung in Cybersicherheit? Setzt sich der Vorstand dafür ein, dass das Thema Cybersicherheit in alle Aktivitäten des Unternehmens einfließt, vom Onboarding neuer Mitarbeiter bis hin zu laufenden Anti-Phishing-Schulungen?
13. Schafft der Vorstand ein Klima des offenen Informationsaustauschs?
Vorstände geben den Ton an, nicht nur in dem, was sie tun, sondern auch in der Art und Weise, wie sie ihre Geschäfte führen, in der Atmosphäre und in dem Umfeld, das sie schaffen. Sucht der Vorstand im Falle eines Sicherheitsverstoßes nach einem Sündenbock, dem er die Schuld geben kann, oder leitet er eine objektive Untersuchung ein, um festzustellen, was schief gelaufen ist und welche Maßnahmen ergriffen werden können, um weitere Vorfälle zu verhindern? Kann der CISO dem Vorstand schlechte Nachrichten überbringen, ohne Angst zu haben, ignoriert oder bestraft zu werden? Erlaubt die Beziehung zwischen Vorstand und CISO eine schnelle, informelle Kommunikation außerhalb der regelmäßig anberaumten Sitzungen. Sicherheitsbewusste Vorstände sollten eine starke, vertrauensvolle Beziehung zum CISO haben, die auf wechselseitige Kommunikation beruht. (jm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online