Ein CISO muss viele Funktionen ausüben. Eine der wichtigsten und möglicherweise meist unterschätzten Funktionen besteht darin, ein gutes Narrativ aufbauen zu können.
Es kann für nicht-technische Führungskräfte schwierig sein, die Cyber-Risiken zu verstehen, denen ihr Unternehmen ausgesetzt ist. Etwas mehr als ein Drittel (35 %) der kleineren Unternehmen, die für eine aktuelle internationale Studie befragt wurden, gaben an, dass Führungskräfte Cyberangriffe nicht als bedeutendes Risiko ansehen – wobei ein Viertel einräumte, dass Führungskräfte nicht über die Bedrohungen auf dem Laufenden gehalten werden, denen das Unternehmen ausgesetzt ist.
Das hat nichts mit einem Versagen des Managements zu tun. Es ist schwierig, sich für etwas zu interessieren oder sich um etwas zu kümmern, das man nicht vollständig versteht. CISOs müssen in der Lage sein, auf Menschen auf allen Ebenen der Organisation einzuwirken und ihnen dabei zu helfen, Security-Richtlinien, die Incident Response usw. zu verstehen und sich damit auseinanderzusetzen. Die Zeit, die Sie damit verbringen, Ihren wichtigsten Stakeholdern zuzuhören und mehr über sie zu erfahren, ist eine der besten Investitionen, die Sie tätigen können.
Im Rahmen unserer Serie über die Cyber-Resilienz von CIOs und CISOs habe ich einen kurzen Leitfaden darüber geschrieben, was für mich funktioniert. Das CISO-Skript: How to talk to business leaders about security risk" wird zusammen mit einer PPT-Präsentationsvorlage veröffentlicht, die Security-Verantwortliche herunterladen und anpassen können, wenn sie dem Vorstand Fragen zu Cyber-Risiken und Cybersecurity präsentieren.
Der Leitfaden beschreibt detailliert die drei wichtigsten Gespräche, die jeder CISO führen sollte:
Mit Kollegen aus dem technischen Bereich, wie Ingenieuren, Entwicklern und Sicherheitsforschern: Das sind die Leute, die Sie vielleicht eines Tages um 2.00 Uhr morgens mit einer dringenden Anfrage anrufen werden. Es ist also hilfreich, starke Beziehungen aufzubauen und zu verstehen, wie Sicherheit aus ihrer Perspektive aussieht.
Mit Führungskräften: Regelmäßige, geplante Meetings mit den wichtigsten Stakeholdern in kritischen Risikobereichen wie Technik, Finanzen und Recht, um die Entwicklung der Bedrohungs- und Sicherheitslandschaft und die Auswirkungen auf die Geschäfts-Roadmap, Risiken, Compliance usw. zu besprechen.
Mit dem Vorstand: Jedes Vorstandsmitglied ist anders. Bringen Sie so viel wie möglich über die Leute am Tisch in Erfahrung und stellen Sie sicher, dass Ihre Folien sie in einer Sprache und mit Konzepten ansprechen, die sie verstehen. Was ist der Schlüssel, um ihr Interesse und ihre Aufmerksamkeit zu wecken?
Kurz gesagt: CISOs müssen den Führungskräften und dem Vorstand aufzeigen, wo die Risiken liegen, wie ihr Team mit diesen umgeht und wie sie die Widerstandsfähigkeit des Unternehmens in einer Welt gewährleisten, in der Cybervorfälle häufig auftreten, unvorhersehbar sind und potenziell zerstörerische Folgen haben.
Um mehr über die wichtigsten Security-Gespräche zu erfahren und darüber, wie Sie dem Vorstand Cybersecurity präsentieren können, laden Sie sich jetzt Ihr Exemplar des Skripts und der Präsentationsvorlage herunter.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
