Von Norman Marks, CPA, CRMA
Ich sage Risikopraktikern gerne, dass sie, wenn sie der Führung Bericht erstatten, dies tun müssen:
Sagen Sie ihnen, was sie wissen müssen, nicht was Sie sagen wollen!
Das ist ein Riesenunterschied!
So viele Menschen machen diesen Fehler und überschwemmen den Vorstand und das Topmanagement mit technischen Informationen, statt mit den geschäftlichen Informationen, die die Führungskräfte wissen müssen.
Was Führungskräfte wissen müssen, ist unterschiedlich, aber in der Regel läuft es auf eines hinaus: Sie brauchen Informationen, um die richtigen strategischen und taktischen Entscheidungen zu treffen und die richtigen Risiken einzugehen, die für den Erfolg notwendig sind. (Erfolg bedeutet für mich das Erreichen der Unternehmensziele. Daran wird die Leistung des CEO und anderer Top-Führungskräfte in der Regel vom Vorstand gemessen.)
In Making Business Sense of Technology Risk verweise ich auf eine aktuelle Studie von Osterman Research. In How board of directors feel about their cybersecurity reports, kamen sie zu dem Schluss:
- 85% der Vorstandsmitglieder sind der Meinung, dass IT- und Sicherheitsverantwortliche die Art und Weise, wie sie dem Vorstand Bericht erstatten, verbessern müssen.
- 59% sagen, dass ein oder mehrere IT-Sicherheitsverantwortliche ihren Job verlieren werden, weil sie es versäumt haben, nützliche, umsetzbare Informationen zu liefern.
- 54% stimmen zu oder stimmen stark zu, dass die Berichte zu technisch sind.
- Nur 33% der IT- und Sicherheitsverantwortlichen glauben, dass der Vorstand die ihm zur Verfügung gestellten Informationen zur Cybersicherheit versteht.
Das ist atemberaubend. Die Vorstandsmitglieder sagen, dass die Cyber-Berichte, die sie erhalten, ihnen nicht helfen, das Geschäft zu führen. Ist es da verwunderlich, dass der Vorstand den InfoSec-Fachleuten nicht die Unterstützung (Zeit und Ressourcen) bietet, die sie sich wünschen?
Vorstände und Führungskräfte erhalten in der Regel Berichte, die einige oder alle der folgenden Punkte enthalten:
- Eine Einschätzung, dass das Cyber-Risiko hoch, mittel oder niedrig ist. Die Bewertung kann in Form einer Heatmap erfolgen und Teil eines Gesamtrisikoberichts sein, der in der Regel eine Liste von Risiken enthält (die wiederum als hoch, mittel oder niedrig eingestuft werden).
- Eine Liste von risikobehafteten “Informationswerten” (wie von den bekannten Cyber-Frameworks vorgeschlagen)
- Die Bewertung durch die Geschäftsleitung – durch einen Chief Information Security Officer (CISO), falls es einen gibt, oder den Chief Risk Officer -, ob das Cyber-Risiko im Rahmen der Risikobereitschaft des Unternehmens liegt
- Bewertung der Angemessenheit der Fähigkeiten zur Risikoabwehr, -erkennung und -reaktion
- Informationen über die Maßnahmen, die zur Behebung der festgestellten Schwächen geplant sind
- Ersuchen um zusätzliche Ressourcen
Aber helfen diese Informationen dem Topmanagement und dem Vorstand, die für den Erfolg notwendigen strategischen und taktischen Entscheidungen zu treffen?
Ein aktueller Bericht von McKinsey & Co, Cyber Risk Measurement and the Holistic Cybersecurity Approach, zeigt, dass:
- Vorstände und Ausschüsse werden mit Berichten überschwemmt, darunter Dutzende von Leistungs- und Risikoindikatoren (Key Performance Indicators, KRIs). Allerdings sind die Berichte oft schlecht strukturiert, mit inkonsistenten Daten und zu vielen Details.
- Die meisten Berichte vermitteln nicht, welche Auswirkungen die Risikostufen auf die Geschäftsprozesse haben. Die Mitglieder des Verwaltungsrats finden diese Berichte abstoßend – schlecht geschrieben und überladen mit Akronymen und technischen Abkürzungen. Es fällt ihnen daher schwer, sich einen Überblick über den allgemeinen Risikostatus des Unternehmens zu verschaffen.
- Auf einer Veranstaltung zum Thema Cybersicherheit sagte kürzlich ein Topmanager: “Ich wünschte, ich hätte einen Handheld-Übersetzer, wie sie ihn in Star Trek benutzen, um das, was mir CIOs [chief information officers] und CISOs [chief information security officers] sagen, in verständliches Englisch zu übersetzen.”
CISOs müssen einen Weg finden, die Unternehmensleitung darüber zu informieren, ob die Möglichkeit eines schwerwiegenden Cyberangriffs – der das Erreichen der Unternehmensziele verhindert oder zumindest erheblich behindert – zumindest einigermaßen wahrscheinlich ist. Im Idealfall verweisen sie auf konkrete Ziele und helfen den Mitgliedern des Vorstands und des Führungsteams zu erkennen, inwieweit sie gefährdet sind und wahrscheinlich scheitern werden. Sie sollten mit dem CRO zusammenarbeiten, damit die Führungskräfte das große Ganze sehen können: all die Dinge, die passieren könnten, einschließlich, aber nicht beschränkt auf Cyber, die den Erfolg verhindern könnten.
Als ich eine Führungskraft in der IT-Abteilung war, hatte mein Team die Verantwortung für die Entwicklung von IT-Notfallplänen und Plänen zur Wiederaufnahme des Geschäftsbetriebs. Wir haben eine Analyse der Auswirkungen auf das Geschäft (BIA) durchgeführt: Wie würde sich ein Ausfall auf die vom Unternehmen bereitgestellten Dienste auswirken? Wie lange könnte das Unternehmen einen Ausfall ohne schwerwiegende Folgen überstehen? Wie wahrscheinlich ist ein schwerwiegender Verlust des Dienstes? Wie viele Ressourcen sollten investiert werden, um die Auswirkungen und/oder die Wahrscheinlichkeit auf ein akzeptables Maß zu reduzieren?
Wir müssen die gleiche BIA für das Cyberspace machen.
Stattdessen lassen wir uns von den öffentlichen Berichten über massive Verstöße beeinflussen. Laut dem neuesten Bericht des Ponemon Institute über die Kosten von Datenschutzverletzungen belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung jedoch auf nur 3,9 Millionen Dollar. Rand’s Examining the Costs and Causes of Cyber Incidents, fand heraus, dass:
“… Cyber-Vorfälle kosten die Unternehmen im Durchschnitt nur 0,4 % des Jahresumsatzes. Im Vergleich dazu machen Korruption, falsche Finanzangaben und Rechnungsbetrug insgesamt 5 % des Jahresumsatzes aus, gefolgt von Schwund im Einzelhandel (1,3 %) und Online-Betrug (0,9 %).”
Jede Organisation muss eine BIA durchführen, die die Art ihres Geschäfts und die möglichen Auswirkungen einer Sicherheitsverletzung berücksichtigt. Geben Sie den Verantwortlichen die Informationen an die Hand, die sie benötigen, um intelligente und fundierte Entscheidungen darüber zu treffen, ob das Risiko akzeptabel ist und, falls nicht, wie viel sie in eine Kombination aus Verteidigung, Erkennung und Reaktion investieren sollten.
Führungskräfte müssen Entscheidungen treffen – und benötigen dazu Informationen, wie z.B.:
- Wie hoch ist die Wahrscheinlichkeit, dass ein Verstoß oder eine Kombination von Verstößen das Geschäft so stark beeinträchtigt, dass wir unsere Ziele (Umsatz, Marktanteil, Gewinnziele usw.) nicht erreichen?
- Welche Ziele würden wir nicht erreichen?
- Können wir das Risiko auf ein akzeptables Niveau senken? Wenn ja, welche Optionen gibt es, wie viel Risiko würde gemindert werden, wie lange würde das Risiko reduziert werden und was würden diese Optionen kosten?
- Können wir uns das leisten? Woher kommt das Geld?
- Macht es geschäftlich Sinn, in Cyberspace zu investieren, wenn dies auf Kosten von Investitionen in eine neue Marketingkampagne, Produktentwicklung oder neue Technologie geht?
- Sollten wir technologieintensive Projekte, die das Cyber-Risiko erhöhen, wie z.B. die fortgeschrittene Automatisierung, aufschieben oder sogar streichen?
- Haben wir das richtige Managementteam für den Umgang mit dem Cyberspace?
CEOs sollten mit dem CRO, dem CISO und den CIOs zusammenarbeiten, um sicherzustellen, dass dem Vorstand und den Führungskräften verwertbare Informationen zur Verfügung gestellt werden.
Sagen Sie ihnen, was sie wissen müssen, damit sie ihre Führungs- und Leitungsverantwortung wahrnehmen können. Verstehen Sie die Entscheidungen, die sie treffen müssen, die Informationen, die sie benötigen – und geben Sie ihnen diese dann.
Wenn Sie mehr von Norman Marks darüber erfahren möchten, wie Sie den Führungskräften Cyberrisiken vermitteln können, sehen Sie sich unser On-Demand-Webinar mit Norman Marks an, das jetzt in der Riskonnect-Ressourcenbibliothek verfügbar ist.