Der Chief Information Security Officer (CISO) ist ein relativ neuer Posten in der Führungsriege eines Unternehmens. Es ist eine Schlüsselrolle für Unternehmen und Organisationen, die über die notwendigen Ressourcen verfügen und die Notwendigkeit eines robusten Sicherheitsprogramms erkennen. Wenn er richtig eingesetzt wird, nimmt der CISO eine Führungsposition ein, die ein wesentlicher Bestandteil der Führungsebene eines Unternehmens ist.
Doch nicht jede Unternehmensführung versteht die Rolle des CISO. Die Aufgabe des CISO besteht nicht darin, alle Risiken zu beseitigen. In der heutigen modernen Cybersecurity-Landschaft ist dies ein unmögliches Unterfangen. Der CISO muss stattdessen die Risiken, denen ein Unternehmen ausgesetzt ist, ganzheitlich verstehen und dann eine Sicherheitsstrategie entwickeln, die diese Risiken auf ein Niveau reduziert, das der Risikobereitschaft des Unternehmens entspricht.
Eine wichtige Komponente dieser Aufgabe ist die Übersetzung und Kommunikation des Schweregrads der Hauptrisiken an die anderen Mitglieder der Führungsetage. Nur durch diese Art von proaktiver, klarer und umsetzbarer Kommunikation kann ein CISO die volle Zustimmung des restlichen Führungsteams erlangen, um Prioritäten zu setzen und die Sicherheit in die Unternehmenskultur zu integrieren.
Wie sich die Sicherheitslandschaft verschiebt
In den letzten zehn Jahren hat sich die Art und Weise, wie Cyberkriminelle Angriffe durchführen, massiv verändert. Vor zehn Jahren war es noch viel schwieriger, Geld von Organisationen zu erpressen. Was jedoch einst nur talentierten Bedrohungsakteuren vorbehalten war, die gezielte Angriffe auf große Unternehmen durchführten, hat sich zu einem Markt entwickelt, auf dem selbst die laienhaftesten Bedrohungsakteure einen erfolgreichen Cyberangriff durchführen können, dank dem Aufstieg von Ransomware-as-a-Service und anderen Formen von standardisierter krimineller Infrastruktur.
Es gibt jetzt kriminelle Dienste und Bedrohungsakteure zum Anheuern. Ein angehender Angreifer kann nun mit jedem zusammenarbeiten – und von jedem lernen – von Initial Access Brokers über Payload-Experten bis hin zu Lösegelderpressern. Unter Kryptowährung hat es Cyberkriminellen exponentiell erleichtert, ihre Angriffe zu finanzieren.
Diese Änderungen haben nicht nur das Feld für Bedrohungsakteure geebnet, sondern auch für Unternehmen, die sich vor Angriffen schützen wollen. Jeden Tag werden Cyberangriffe auf Unternehmen jeder Größe und jeder Branche durchgeführt. In den kommenden zehn Jahren werden Bedrohungsakteure lernen, KI zu nutzen, um ihre Angriffe zu automatisieren und deren Effektivität zu erhöhen, der Markt für Cyberkriminalität wird weiter kommerzialisiert, und das Wettrüsten zwischen Bedrohungsakteuren und Sicherheitsteams wird weitergehen.
Dies ist das zunehmend schwierige und gefährliche Umfeld, mit dem sich CISOs konfrontiert sehen. Um sich wirksam gegen diese Angreifer zu verteidigen, müssen CISOs die solide Unterstützung der übrigen Führungsebene haben.
Wie ein CISO die Zustimmung der Führungsebene erhalten kann
Die Aufgabe, die Unterstützung der Führungsetage zu gewinnen, beginnt beim CEO. Letztlich trägt der CEO den größten Teil des Risikos für das Unternehmen auf seinen Schultern. Die Hauptaufgabe des CISO besteht also darin, dem CEO dabei zu helfen, zu verstehen, wie diese Risiken durch ein proaktives Sicherheitsprogramm behandelt und abgeschwächt werden können. Der CEO kann dann die Unterstützung und Hilfe der übrigen Mitglieder der Geschäftsleitung gewinnen, um den CISO in die Lage zu versetzen, das Sicherheitsprogramm umzusetzen. Um diese Aufgabe zu bewältigen, müssen die Risikoinformationen für den CEO und die Führungsebene, denen es oft an Ausbildung und Erfahrung im Bereich Cybersecurity fehlt, verständlich und nachvollziehbar sein.
Eine der besten Methoden, um Führungskräften und anderen Mitarbeitern die Risiken eines Unternehmens näher zu bringen, ist Storytelling. Eine Vorstandssitzung, in der das Risiko durch die Analyse eines realen Vorfalls oder die realistische Darstellung eines hypothetischen, aber bedeutsamen Sicherheitsvorfalls konkretisiert wird, weckt die Aufmerksamkeit des Vorstandsvorsitzenden und der Unternehmensleitung und macht die einst abstrakte Idee der Cybersecurity für sie real.
Einbindung von Führungskräften mit einer Tabletop-Übung
Tabletop-Übungen sind ein wirksames Mittel, um Risikoszenarien in realistische Situationen zu übersetzen, auf die Ihr CEO und die Führungsebene reagieren müssen. Diese sollten sich jedoch weit weniger technisch anfühlen als die Art von Übungen, die ein CISO mit seinem eigenen Sicherheitsteam durchführen könnte. Tabletop-Übungen auf Führungsebene werden ähnlich wie ein Rollenspiel durchgeführt, bei dem die gesamte Führungsetage um einen Tisch versammelt ist, diskutiert und Entscheidungen trifft, während der CISO sie Schritt für Schritt durch einen plausiblen Cyberangriff auf ihr Unternehmen führt. Im Folgenden finden Sie einige Tipps für die Durchführung einer Übung, die zu einer Kultur der Cybersecurity von oben nach unten führen wird.
1. Ein benutzerdefiniertes Szenario erstellen
Um die Tabletop-Übung so effektiv wie möglich zu gestalten, müssen Sie sie greifbar machen. Die Mitarbeiter müssen es fühlen können. Dazu wird ein individuelles Szenario erstellt, das die Stärken und Schwächen Ihres Unternehmens berücksichtigt. Die Cybersecurity & Infrastructure Security Agency (CISA) bietet Hunderte von Tabletop-Übungspaketen an, die jede Organisation als Vorlage oder als Ausgangspunkt für ihre eigene, maßgeschneiderte Übung verwenden kann. Wenn Sie diese Pakete nutzen und sie an Ihr Unternehmen und Ihr Szenario anpassen, maximieren Sie den Realismus und verbessern die Ergebnisse.
2. Ein Ergebnis im Sinn haben
Um möglichst effektiv zu sein, sollten Sie sich ein Ziel setzen. Es ist eine Verschwendung von Zeit, Mühe und Ressourcen, so etwas wie eine Tabletop-Übung mit Ihrer Führungsebene ohne ein definiertes Endziel durchzuführen. Nehmen wir zum Beispiel an, Sie möchten ein Budget für einen Identitätsanbieter für Single Sign-On (SSO) sichern. Da Sie wissen, dass fast 75 % aller Sicherheitsverstöße auf menschliches Versagen zurückzuführen sind, sollten Sie die Übung auf eine Account-Übernahme ausrichten und darauf aufbauen. Die Chancen stehen gut, dass Sie in Echtzeit beobachten können, wie sich die Augen der Führungskraft vor Überraschung und Schock weiten, wenn sie begreift, wie leicht diese Hypothese Wirklichkeit werden könnte, und Sie können diese Reaktion nutzen, um ein substanzielles Gespräch über das benötigte Budget zu führen.
3. Die Situation für alle Personen anschaulich darstellen
Formulieren Sie das Risiko in Begriffen, die jede Führungskraft verstehen kann. Sprechen Sie mit Ihrem Chief Financial Officer über Geld und mit Ihrem Chief Marketing Officer über Ansehen. Ihr Ziel ist es natürlich, den CEO mit ins Boot zu holen, aber die Übertragung von Risiken auf die einzelnen Mitglieder Ihres Führungsteams kann einen Schneeballeffekt auslösen, der dazu führt, dass jedes Mitglied den Teil des Risikos, der auf es entfällt, erkennt und selbst trägt, wodurch verhindert wird, dass es Sicherheitsentscheidungen auf den CISO abwälzt, und schließlich seine Stimme in den Chor einbringt, der Ihrem CEO proaktiven Schutz predigt.
Diese Personalisierung des Risikos für jede Führungskraft hat auch einen kaskadierenden Effekt, der ihnen hilft, den Anteil ihrer Abteilung am Risiko an ihr gesamtes Team zu kommunizieren, was eine stärkere Kultur der organisatorischen Sicherheit schaffen wird.
Zusätzliche Ressourcen
Rüsten Sie Ihre Führungskräfte mit den 9 Fragen zur Cybersecurity aus, die in jeder Führungsetage gestellt werden müssen.
Erfahren Sie, wie Sie Ihre Security Operations mit diesem On-Demand-Webinar verbessern können.
Entdecken Sie die Merkmale einer ausgereiften organisatorischen Sicherheit mit dem Leitfaden zur Umsetzung von MDR für Sicherheitsexperten.
