Mehr Business-Fokus
So gewinnt der CISO das Vertrauen des Vorstandes
Als Christopher Hetner, Security-Risk-Berater beim Beratungshaus Marsh, ein Vertrauensverhältnis zum Vorstand seines Unternehmens aufbauen wollte, stellet er erst einmal eine Menge Fragen. Hetner wollte besser verstehen, wie der C-Level arbeitet und welche Anforderungen er an SecuritySecurity stellt. Alles zu Security auf CIO.de
Foto: Theethawat Bootmata - shutterstock.com
"Ich musste Vertrauen aufbauen, das Mindset verstehen, herausfinden wie das Geschäftsfunktioniert und wie die Risikosituation aussieht," sagt Hetner im Gespräch mit der COMPUTERWOCHE-Schwesterpublikation CSO. Während seiner Tätigkeit als Vice President für Informationssicherheit bei der Citigroup habe er direkt beim CFO gesessen, während dieser seiner Arbeit nachging. So konnte er erfahren, wovon der Erfolg des Unternehmens abhängt.
CISOs müssen aus der Komfortzone
Für Hetner ist es wichtig, über den technischen Aspekt seiner Rolle hinauszugehen. Viele CISOs fühlen sich jedoch wohler mit technisch geprägten Kennzahlen und wenn sie mit dem Vorstand über Technologie sprechen. Damit präsentieren sie dem Board das Geschäftsrisiko aber nicht aus wirtschaftlicher Perspektive, wodurch die Tragweite der Informationen womöglich nicht ankommt.
Einige der technischen Kennzahlen sind laut Hetner tatsächlich wichtig, aber es gelte, eine andere Art von Dialog zu führen, der sich auf deren nachgelagerte Auswirkungen auf das Geschäft konzentriert. So könne der CISO die übergreifende Unternehmensstrategie besser unterstützen und zu einem geschätzten, vertrauten Berater des Vorstands werden.
Beraten statt vortragen
Viele CISOs halten Präsentationen für den Vorstand ihres Unternehmens die ohne Folgen bleiben. Ein gutes Powerpoint-Deck allein ist nicht genug. "Das Ziel muss sein, das Vertrauen des Vorstands zu erlangen, damit der CISO dessen Unterstützung bekommt, wenn er schwierige Dinge vorhat," sagt John Pescatore, Director für Security-Trends beim Schulungsexperten SANS Institute.
"Wenn der Vorstand dem CISO vertraut, kann der seine Arbeit besser und schneller erledigen, notwendige Maßnahmen ergreifen und das Budget bekommen, dass er braucht," sagt Kris Lovejoy, globaler Cyber-Security-Chef bei Ernst & Young. Das sei entscheidend, da Cyber-Sicherheitsrisiken sehr dynamisch seien. Der CISO müsse die Strategie und das Betriebsmodell schnell anpassen können. Hat er nicht den Rückhalt durch das Management und den Vorstand, wird das schwierig.
Für Unternehmen, die ihre Security-Funktion auf die strategische Ebene heben wollen, ist es wichtig, so ein Vertrauensverhältnis aufzubauen. Security kann dann zu einem vollwertigen Partner der Führungsebene werden und die strategischen Entscheidungen des C-Levels beeinflussen.
Security ist wichtig, aber kompliziert
Geschäftsführer wissen die wichtige Rolle der Security. Die National Association of Corporate Directors (NACD) führte eine Umfrage unter den Geschäftsführern von mehr als 500 börsennotierten Unternehmen durch. Darin zählen die Befragten Cyber-Security-Bedrohungen zu den drei größten Risiken, die den Geschäftserfolg beeinflussen können. Die Spitzenplätze belegen regulatorische Veränderungen und wirtschaftliche Stagnation.
Auch nach den Erhebungen von Gartner zählt Sicherheit zu den Top-Prioritäten. Bis 2020 werden die Vorstände aller großer Unternehmen mindestens einmal jährlich Berichte ihrer Führungskräfte über Cyber-Security- und technologische Risken erwarten. Das ist ein Anstieg um 40 Prozent verglichen mit 2016. Dennoch scheint es eine Kluft zwischen Sicherheitsverantwortlichen und dem Vorstand zu geben.
Ernst & Young (EY) befragte im EY Global Information Security Survey 2018-19 1.400 C-Level-Manager weltweit. 28 Prozent gaben an, dass der Vorstand und die Führungsebene kein umfassendes Verständnis von Informationssicherheit besäßen, um Cyber-Risiken und Schutzmaßnahmen vollständig bewerten zu können. Weitere 31 Prozent sagen, es gäbe nur ein begrenztes Verständnis. Lediglich 39 Prozent glauben, ihre Geschäftsführung habe das nötige Wissen.
Des Weiteren besagt die Umfrage, dass nur 18 Prozent der Unternehmen IT-Sicherheit zu einem strategischen Bestandteil ihrer Agenda machen. Weitere 55 Prozent geben an, dass Security die Geschäftsstrategie nur geringfügig oder gar nicht beeinflusse. "Vorstände bekommen oft Reports vom CISO über ein Reifegrad-Framework mit roten, gelben und grünen Indikatoren zum Stand der Dinge. Sie verstehen aber nicht unbedingt, was sie sehen und das verunsichert sie," sagt Lovejoy von EY.
CISOs verwirren ihre Vorstände oft mit zu technischen Präsentationen. Sie nutzen Kennzahlen aus der Security-Branche um Erfolge zu markieren, die jedoch keine Erkenntnisse darüber liefern, welche Bedeutung das für das Business hat. Sie reden über die Anzahl geblockter Phishing-Attacken und abgewehrter Viren oder die Patch-Rate. "Das ist nicht die Art von Botschaft, die den Vorstand interessiert," ergänzt Hetner.
Beide Seiten sind in der Pflicht
Allein den CISOs die Schuld zuzuschieben, wird der Sache jedoch nicht gerecht. Vorstandsmitglieder haben ihrerseits die Pflicht, sich auch mit Themen der IT-Sicherheit zu beschäftigen und zu verstehen, wie diese sich in die Strategien einfügen. Zudem müssen sie wissen, wie sie die Security-Funktion in ihrem Unternehmen am besten unterstützen können.
"Ein Vertrauensverhältnis aufzubauen ist eine beiderseitige Aufgabe. Der CISO möchte, dass der Vorstand ihn unterstützt,während der Vorstand wissen will, was der CISO tut. Sie müssen also zusammenarbeiten, um Erwartungshaltungen zu definieren, die der CISO erfüllen kann," sagt Lovejoy. Es gebe selten absolutes Misstrauen, meistens fühlten sich Manager mit dem Verhältnis, dass sie zu den Sicherheitsverantwortlichen haben, eher unwohl.
Vier Anzeichen für Schwierigkeiten
Um herauszufinden, ob das Verhältnis zwischen dem CISO und dem Vorstand gut genug ist, nennen die Experten vier Indikatoren.
Keine Vorstandspräsentationen
Präsentiert der CISO nicht persönlich regelmäßig vor dem Vorstand, (sondern beispielsweise über einen Stellvertreter), gibt es ein Problem. Laut Lovejoy sollte sich der CISO mindestens einmal im Jahr direkt mit dem gesamten Board austauschen. Zusätzlich hält er vierteljährliche Präsentationen vor einem zuständigen Aufsichtskomitee für hilfreich.
Keine Diskussionen
Gibt es nach solchen Präsentationen keine Diskussionen, ist das für Hetner ein Anzeichen, dass der CISO keine intensive Beziehung zum Vorstand hat. Nur wenn der Vorstand den Austausch sucht und konkrete Aufgaben stellt, ist das ein Indiz dafür, dass der CISO effektiv ist.
Falsche Fragen
Stellen Vorstandsmitglieder dem CISO Fragen, die sich laut Lovejoy auf "falsche Metriken" beziehen, ist das auch besorgniserregend. Wenn sie beispielsweise versuchen, geplante technische Maßnahmen zu verstehen, haben sie vermutlich Schwierigkeiten nachzuvollziehen, was der CISO ihnen zu beschreiben versucht.
Zu spät für Strategiediskussionen
CISOs, die sich nicht regelmäßig mit dem C-Level austauschen, um ihre Perspektive auf Business-Strategien beizusteuern, genießen laut Lovejoy nicht das Vertrauen des Vorstands. Wird der IT-Sicherheitschef nicht direkt und frühzeitig in Strategiediskussionen miteinbezogen, bedeutet das, dass er nicht als relevant genug wahrgenommen wird, um hinsichtlich der Risiken bei Transformations-Initiativen zu beraten.
Drei Lösungsansätze
Um Vertrauen zum Vorstand aufzubauen, geben die Experten CISOs drei Taktiken an die Hand:
Die Risikotoleranz des Unternehmens kennen
Vorstand und CISO müssen eine gemeinsame Vorstellung davon haben, wie weit die Risikobereitschaft im Unternehmen gehen darf. Laut Rebecca Wynn, IT-Security-Leiterin und Datenschutzbeauftragte beim US-Healthcare-Dienstleister Matrix Medical Network, haben viele ihrer Kollegen in verschiedenen Branchen den Eindruck, der Vorstand sei mit dem Minimalstandard zufrieden und wolle Geld sparen.
In ihrem 2019 Governance Outlook: Projections on Emerging Board Matters spricht die NACD von einer Kluft zwischen Vorständen und Sicherheitsverantwortlichen. Demnach sagten 70 Prozent der befragten Geschäftsführer börsennotierter Unternehmen, sie bräuchten ein besseres Verständnis der bestehenden.
Wird nicht klar darüber gesprochen, welche Risiken der Vorstand bereit ist einzugehen, sollte der CISO das Gespräch suchen, rät Lovejoy. Er sollte klar machen, dass er sich mit nahezu jedem Ziel arrangieren kann - er muss es nur kennen. Anschließend sollten CISOs verständlich machen, was ihr Security-Team genau tut, um dieses Ziel zu erreichen.
Schwachstellen in einen Business-Kontext setzen
Laut Hetner sollte der CISO offen über Schwachstellen sprechen. Er sollte Hindernisse für den Ausbau des Cyber-Sicherheitsprogramms erklären und kommunizieren, wie Cyberrisikomanagement im gesamten Unternehmen umgesetzt werden kann. All das müsse in einem Business-Kontext geschehen.
Es gilt, Cyber-Angriffsflächen durch die wirtschaftliche Brille zu verstehen, zu bewerten und herauszuarbeiten, wie sie sich auf das Risikomanagement auswirken. CISOs müssen sich dahingehend entwickeln, dass sie einen Sinn für das Business sowie starke Kommunikations-Skills aufbauen. Cybersecurity müsse als strategisches Thema vermittelt werden, nicht als technisches.
Verbindungen knüpfen
CISOs, sollten auch jenseits der regulären Präsentationen Anknüpfungspunkte mit dem Vorstand etablieren. Laut Pescatore vom SANS Institute treffen sich andere C-Level-Manager oft informell untereinander und halten sich auf dem Laufenden. So bauen sie im Alltag eine starke Beziehung auf, die dabei hilft, in schwierigen Zeiten besser zusammenarbeiten. Das sollte auch dem CISO gelingen.
Wynn empfiehlt, einen Sponsor im Vorstand zu gewinnen, der den CISO dabei unterstützt, seine Initiativen voranzutreiben. "Es gilt, Zeit mit der Führungsriege zu verbringen und ihren Kommunikationsstil zu erlernen. Der CISO muss die Strategien und taktischen Pläne des Boards für die kommenden Jahre kennen und wissen, wie er sie am besten unterstützen kann. Wenn ein Vorstand nicht offen für eine engere Zusammenarbeit ist, sollten die Kommunikationskanäle weiterhin offengehalten werden, aber auch alternative Partnerschaften ausgelotet werden."