Security-Maßnahmen: So erhöhen Sie das Sicherheitsbewusstsein unter den Vorstandsmitgliedern und dem Top-Management

Die Anzahl an Cyber-Attacken und die damit verbundene Notwendigkeit, die eigenen Security-Maßnahmen im Unternehmen anzupassen, sind innerhalb der letzten Jahre exponentiell gestiegen. Im Jahr 2009 wurden weltweit ca. 3 Millionen Cyber-Attacken verzeichnet. Zum Ende des Jahres 2015 ist die Zahl  laut Statista auf über 59 Millionen angestiegen, wie auch auf dem CIO Kurator berichtet. Neben der reinen Anzahl hat gleichzeitig auch die Raffinesse und Komplexität der Attacken zugenommen, was zu weitreichenden Folgen auch in Deutschland im vergangenen Jahr geführt hat.

Ob Schwachstellen, Data Breaches oder Ransomware: Das Thema Security beschäftigt längst nicht mehr nur die Chief Information Officers (CIOs), sondern findet unlängst in der breiten Öffentlichkeit Gehör. Cyber-Angriffe verursachen des Öfteren horrende Kosten – ganz zu schweigen von der Ruf-Schädigung eines Unternehmens. Dementsprechend ist sich auch die oberste Führungsriege von Unternehmen der großen Bedeutung und der Folgen von Cyber-Bedrohungen bewusst. Natürlich möchten sie wissen, wie gut vorbereitet ihre CIOs auf solche Angriffe sind und wie es um die Widerstandsfähigkeit ihres Unternehmens steht. CIOs, Chief Information Security Officers (CISOs) und andere Sicherheitsexperten müssen lernen, wie sie ihre Kompetenzen behaupten können, damit die Vorstandsmitglieder ihre tatsächlichen Leistungen auf diesem Gebiet beurteilen können.

Das Bewusstsein zum Thema Security unterscheidet sich innerhalb der CxOs eines Unternehmens erheblich. Sicherheitsexperten haben sowohl die Chance als auch die Verantwortung, diese Lücke zu schließen und den Vorständen und dem Top-Management Vertrauen zu vermitteln. Aber das Management muss auch die Herausforderungen verstehen, vor denen das Sicherheitsteam beim Schutz des Unternehmens steht. Dies wird umso wichtiger, wenn tatsächlich ein Data Breach passiert.

Securityintelligence hat ein paar hilfreiche Tipps zusammengestellt, die dabei helfen sollen, der oberen Führungsriege ein umfassendes Security-Bewusstsein zu vermitteln.

Bauen Sie eine starke Beziehung zum Vorstand auf

Besprechungen mit Vorstandsmitgliedern und Führungskräften sind in der Regel formell und unpersönlich. Das Top-Management will Menschen und ihre Positionen jedoch durchaus unterstützen und verstehen – vor allem diejenigen, die dem Unternehmen zum Erfolg verhelfen können. Da die Cyber-Security zu einem so wichtigen und bestimmenden Bestandteil der Unternehmensumgebung geworden ist, sind sie gegenüber CISOs und dem Rest des Sicherheitspersonals kritischer denn je. CISOs sollten deshalb versuchen, persönliche Beziehungen zu möglichst vielen Vorstandsmitgliedern und Führungskräften aufzubauen, um ihre Verantwortlichkeiten herauszustellen und ihr Sicherheitsbewusstsein kennenzulernen.

Argumentieren Sie auf Augenhöhe

Die Mehrheit der Vorstandsmitglieder kennt die Präventivmaßnahmen oder die Vorgehensweisen bei einem tatsächlichen Angriff des CISOs meistens nicht. Medienberichte über Breaches, insbesondere wenn sie ein Unternehmen der gleichen Branche betreffen, können Fragen darüber aufwerfen, wie sich ein Unternehmen vor ähnlichen Bedrohungen schützt. Der CISO muss dann dazu fähig sein, eine realistische Einschätzung der Verwundbarkeit des Unternehmens geben – und zwar auch ohne allzu viel Fach-Jargon, so dass die Gefahren auch von Führungskräften, die nicht aus der IT kommen, beurteilt werden kann.

CIO, CISCO und Vorstand müssen für effiziente Security-Maßnahmen an einem Strang ziehen

Prüfen Sie Ihre Security-Maßnahmen intern und extern

CISOs sollten ihre Maßnahmen zur Cyber-Security ständig an zwei Fronten überprüfen: intern und extern. Neue Technologie im Unternehmen kann beispielsweise dazu führen, dass Sie Ihre Maßnahmen zur Abwehr von Cyber-Angriffen neu überdenken müssen. Sicherheitsverantwortliche sollten aber auch periodische Schwachstellen-Tests von Drittanbietern in Auftrag geben, um sowohl die getroffenen Maßnahmen zu validieren als auch unbekannte Bedrohungen zu entdecken.

Externe Vergleiche können beispielsweise mit ähnlichen Branchen vorgenommen werden, die Best Practices liefern können. Jedoch sind externe Vergleiche manchmal schwierig, weil viele Unternehmen ihr internes Wissen nicht teilen wollen. Auch hier können externe Gutachter helfen, um Informationen aus Branchensegmenten zu sammeln und Ressourcen für die Gefahren-Analyse zu schaffen. So können genaue, aktuelle und anonymisierte Informationen gesammelt werden, um jedes beitragende Unternehmen zu schützen.

Aufgrund der zunehmenden Bedeutung von Cyber-Security, werden sich CISOs immer häufiger vor den Vorstandsmitgliedern rechtfertigen müssen. Wie und was sie kommunizieren, kann einen großen Unterschied machen und hängt auch davon ab, wie gut die Vorstandsmitglieder in der Lage sind, ihrer Verantwortung gerecht zu werden.

Anfang des Jahres hielten Meltdown und Spectre die Welt in Atem. Wenn Sie mehr über diese Schwachstellen erfahren möchten, empfehle ich Ihnen den Beitrag hier auf dem CIO Kurator: Meltdown und Spectre: Was CIOs und CISOs über Cyber-Security wissen sollten.

Wie Sie Ihr Unternehmen vor Cyber-Bedrohungen mit intelligenten Lösungen schützen können, erfahren Sie hier.

One comment

Kommentare sind sehr willkommen