89 Prozent der Sicherheitsverantwortlichen werden regelmäßig vom Vorstand konsultiert
27. November 2019Die überwiegende Mehrheit (89 Prozent) der Chief Information Security Officer (CISOs) wird regelmäßig vom Vorstand konsultiert, um Empfehlungen für das Unternehmen abzugeben. Jedoch führt dieser direkte Zugang zu den Top-Entscheidungsträgern nicht zwangsläufig zu zweckgebundenen Investitionen in die Cyber-Sicherheit. Die Hälfte (54 Prozent) der Befragten gab an, das vorhandene Budget mit anderen IT-Bereichen teilen zu müssen. Diese Ergebnisse gehen aus der aktuellen CISO-Umfrage von Kaspersky hervor.
Das Top-Management lässt sich – unabhängig von der eigentlichen Berichtsstruktur des Unternehmens – von IT-Sicherheitsleitern beraten, wobei nur 23 Prozent normalerweise an den Vorstand berichten. Laut 60 Prozent der Befragten benötigen Geschäftsführer am häufigsten Input von ihrem CISO, wenn ein interner Cybersicherheitsvorfall eingetreten ist.
Doch Geschäftsführer sind auch ohne einen Vorfall proaktiv und machen sich Gedanken, wie sie ihr Unternehmen schützen können. Mehr als die Hälfte (57 Prozent) der befragten IT-Sicherheitsverantwortlichen hat regelmäßige Treffen mit dem Vorstand und ebenfalls mehr als die Hälfte (56 Prozent) wird gebeten, ihre professionelle Einschätzung zu zukünftigen IT-Projekten abzugeben.
Hoher Rechtfertigungsdruck trotz wachsendem Bewusstsein
Obwohl deren Expertise für die Geschäftsleitung transparent und wertvoll ist, haben CISOs jedoch immer noch Schwierigkeiten, notwendige Ausgaben für IT-Sicherheit zu rechtfertigen. So sind 43 Prozent aller Befragten der Meinung, dass sie in direktem Wettbewerb mit anderen Geschäfts- und IT-Initiativen stehen. Damit stellt diese Hürde eine der drei größten Herausforderungen dar, um notwendige Investitionen in die Informationssicherheit innerhalb des eigenen Unternehmens durchzusetzen.
„Wie die Studie zeigt, verstehen Vorstände heute, dass Cyber-Sicherheit ein wichtiger Teil des Geschäftserfolgs bedeutet“, betont Veniamin Levtsov, VP of Corporate Business bei Kaspersky. „Dennoch stellt es für CISOs noch immer eine Herausforderung dar, dieses Verständnis in konkrete Unterstützung zu verwandeln. Das Beherrschen der Geschäftssprache anstelle eines schwer vermittelbaren Fachjargons, die Fokussierung auf die Lösung von Problemen und die Einbeziehung von Fachwissen Dritter zur Rechtfertigung sinnvoller Maßnahmen sind Schlüsselkomponenten, um Geschäftsführer für die eigenen Belange zu gewinnen.“
Als sinnvolle Tipps zur Verständigung zwischen CISO und Vorstand haben sich die folgenden Aspekte herauskristallisiert:
- Die Ad-hoc-Kommunikation gegeneinen regelmäßigen Austausch mit dem Führungsteam des Unternehmens austauschen. Auf diese Weise kann der Vorstand über die Sicherheitsmaßnahmen innerhalb des Unternehmens auf dem Laufenden gehalten und die strategischen Prioritäten in den Fokus der Entscheider gerückt werden.
- CISOs sollten in einer Sprache kommunizieren, die vom Top-Management verstanden wird. Führungskräfte haben selten einen sicherheitstechnischen oder technischen Hintergrund. IT-Jargon sollte daher vermieden und stattdessen auf die geschäftlichen Vorteile eingegangen werden.
- Ein Sicherheitstraining für Vorstandsmitglieder wie das Kaspersky Security Awareness Training trägt nicht nur zum Aufbau einer unternehmensweiten Cyber-Sicherheitskultur bei, sondern zeigt den Entscheidern auch den praktischen Wert und die Auswirkungen wirksamer Cyber-Sicherheitsmaßnahmen auf. (rhh)
Hier geht es zum vollständigen Security-Bericht.