Die Kraft von Partnerschaften zwischen CISOs und Vorstand

Die CISOs sind offiziell in der C-Suite angekommen, und wir dürfen getrost behaupten, dass wir enger mit unseren Vorständen zusammenarbeiten denn je.

82 % der CISOs sagen jetzt, dass sie direkt ihren CEOs unterstellt sind – 2023 waren es noch 47 %. Und 83 % der CISOs nehmen inzwischen relativ oft oder meistens an den Vorstandssitzungen teil. Der jährliche CISO-Report von Splunk geht diesmal der Frage nach, wie wir unsere Position in der Vorstandsrunde stärken, wie CISOs ihren Einfluss auf Budgets und Richtlinien stärker geltend machen und wie die Vorstände mehr Einblick in die Sicherheitslage des Unternehmens bekommen.

Die gute Nachricht ist, dass bei etlichen der wichtigsten Fragen Übereinstimmungherrscht. CISOs und Vorstände sind sich z. B. einig, dass es wichtig ist, sensible Informationen zu schützen und dass wir unsere Führungsqualitäten weiter entwickeln müssen.

Aber es ist wie bei jeder jungen Beziehung am Anfang, wir sind gerade erst dabei,einander kennenzulernen. Und wenn die CISOs in die Rolle von Business-Leadernhineinwachsen, geht das natürlich nicht ohne Wachstumsschmerzen ab. Wenn es z. B.um die Abstimmung der strategischen Sicherheitsziele geht, sagen 61 % der CISOs,dass ihre Beziehung zum Vorstand sehr gut oder ausgezeichnet ist, während sich dieVorstände nur zu 43 % derart angetan zeigen.

Aber das muss nicht so sein. Der diesjährige CISO-Report leuchtet die Bereiche aus, indenen CISOs und Vorstände noch nicht zusammengefunden haben. Und er stellt BestPractices vor, die CISOs dabei helfen, die Differenzen zu überwinden, sodass sie ihreZiele erreichen und zugleich das Vertrauen des Vorstands gewinnen.

Die Kluft zwischen CISO und Vorstand überbrücken – bei Prioritäten, Skills und KPIs 

Wenn die Beziehung auf einer Grundlage wachsen soll, die sich aus unterschiedlichen Prioritäten zusammensetzt, dann werden sich CISOs und Vorstände, wenn sie soweitermachen, wahrscheinlich nur noch weiter voneinander entfernen.

Viele der derzeitigen Diskrepanzen lassen sich darauf zurückführen, dass Vorstand und CISO jeweils einen ganz anderen Hintergrund haben. 58 % der CISOs, die ja im Grunde ihres Herzens Technologen sind, geben an, dass sie und ihre Teams den größten Teil der Zeit damit befasst sind, Technologien auszuwählen, zu installieren undzu betreiben. Im Gegensatz dazu sind die Vorstände zu 52 % der Meinung, dass CISOs die meiste Zeit damit verbringen, als Business Enabler zu wirken. Und obwohl die CISOs sagen, dass ihr Erfolg sich am besten daran bemessen lässt, wie sich Security Incidents auswirken, beurteilen uns die Vorstände eher nach dem ROI unserer Sicherheitsinvestitionen.

Wie also können CISOs diese Differenzen überbrücken? Wenn wir das Vertrauen des Vorstands gewinnen wollen, müssen wir überlegen, wie sich unsere Prioritäten, unsereZiele und unsere Zeit auf Gewinn und Geschäftsziele beziehen lassen. Wir müssen es auf uns nehmen, unseren Vorständen beizubringen, inwiefern Sicherheitsmetriken dem Unternehmen zugutekommen. Dann werden wir auch darlegen können, wie unsere Sicherheitsziele in die übergeordnete Mission passen, und dann werden wir die Ressourcen und die Unterstützung bekommen, die wir brauchen. 

Budgetverhandlungen in der Sprache des Vorstands sind erfolgreicher 

Die Fähigkeit, adäquate Mittel einzuwerben, steht ganz oben auf der Liste der wertvollsten CISO-Skills, die es zu entwickeln gilt. Nur 29 % der CISOs sagen, dass sie für ihre Vorhaben und Ziele ein angemessenes Budget bekommen. Das macht uns Sorgen – und zwar zu Recht –, wenn wir daran denken, wie sehr Budgetkürzungen uns daran hindern, das Unternehmen effektiv zu schützen. Dies wäre eine Gelegenheit, Cybersecurity als Business Enabler positionieren, als etwas, das das Geschäft vorwärtsbringt.

In den Augen des Vorstands hat geschäftliches Wachstum eindeutig Priorität, sogar gegenüber einer verbesserten Cybersicherheit. Das bedeutet, dass die CISOs über den Tellerrand der Risikokennzahlen hinausblicken und sich bis zu der Frage vorwagen müssen, wie eine bestimmte Lösung dem Geschäft im weiteren Sinne zugute kommt. Es bedeutet, dass wir die potenziellen bzw. unvermeidlichen Kosten zur Sprache bringen müssen, die entstehen, wenn wir Sicherheitslösungen oder Best Practices nicht implementieren. Unser Report zeigt konkret auf, wie sich CISOs für bessere Security-Budgets stark machen können und wie sie ihre Arbeit aus dem ROI-Blickwinkel darstellen, den ihre Vorstände verstehen.

In gewisser Weise haben die CISOs gar keine Wahl. Denn Einschnitte, selbst kleine, können erhebliche Konsequenzen haben. So sagen 18 % der CISOs, dass sie in den letzten zwölf Monaten wegen unzureichendem Budget nicht in der Lage waren, ein Business-Vorhaben zu unterstützen – und bei 64 % war dann die weitere Folge ein Datenleck oder ein erfolgreicher Angriff.

Klare Vorteile, wenn CISO und Vorstand an einem Strang ziehen 

Aber keine Sorge. Es gibt einen geraden Weg zum Erfolg. Wenn CISOs sich die Zeitnehmen, eine starke Beziehung zum Vorstand aufzubauen, dann entsteht etwas, dasgeradezu magisch ist. Die CISOs, die ein gutes Verhältnis zum Vorstand haben,profitieren im Gegensatz zu den übrigen von einer ganzen Reihe von Vorteilen, etwavon diesen:

• Bessere Abstimmung der Prioritäten von Sicherheitsteam und Vorstand (86 % statt 59 %)
  
• Bessere Chancen, das nötige Budget zu sichern (69 % statt 57 %)
  
• Mehr Verständnis für Cybersicherheit (62% statt 46%)
  

Wie jede Beziehung will auch diese gepflegt werden, damit sie stark wird. Als CISOs müssen wir unsere Ansätze überdenken, damit wir neue Herausforderungen angehen, innovativ sein und gemeinsam Fortschritte machen können.

Holt euch jetzt kostenfrei den kompletten CISO-Report von Splunk. Darin erfahrt ihr, was CISO und Vorstand momentan noch trennt, wie beide Seiten zusammenfinden können und wie auch ihr starke Beziehungen zum Vorstand aufbaut, die handfeste Vorteile mit sich bringen.