Soft Skills für CISOs Welche Kommunikationsfallen muss ein CISO vermeiden?

Anbieter zum Thema

FTAPI Software GmbH

Mimecast Germany GmbH

Eine wirksame IT-Security fordert nicht nur modernste Strategien und Systeme, sondern muss auch der Geschäftsführung sowie den wesentlichen Interessensgruppen durch den CISO kommuniziert werden. Dadurch lernen Stakeholder den Wert der Sicherheit besser zu verstehen und erhalten zudem wichtige Argumente, um Sicherheitsstrategien zu unterstützen.

Scheitert der Versuch, den Vorstand nicht von den erforderlichen Maßnahmen zur Cybersicherheit zu überzeugen, so kann dies zu Verwirrung, Desillusionierung und mangelndem Zusammenhalt zwischen den Führungskräften, der Sicherheitsfunktion und dem Rest des Unternehmens führen. In der Folge sind die häufigsten Fehler sowie deren Lösungsmöglichkeiten skizziert, auf die CISOs bei Gesprächen mit dem Vorstand achten müssen.

Konzentration auf die wichtigen Dinge

CISOs bauen häufig ihre Argumentation zum Thema Risiken auf der Grundlage der Daten auf, die ihnen ihre Tools liefern. Diese fokussieren in der Regel operative Aktivitäten, Maßnahmen zur Behebung von Schwachstellen oder sogar pauschale Aktivitäten. Dieser Ansatz geht jedoch oftmals in Meetings mit dem Vorstand am Ziel vorbei. Nicht alle Risiken sind gleich und Risikobewertungen brauchen Kontext, um sie umsetzbar zu machen.

Daher sollten sich CISOs auf die Sachverhalte konzentrieren, die dem Unternehmen am wichtigsten sind, wie beispielsweise die Wahrung des Rufs, der Schutz von Know-how oder die Aufrechterhaltung des Betriebs. Das bedeutet, es müssen spezifischen Ziele genannt werden, die sie unterstützen, und das Risiko in Begriffen ausdrücken, die der Vorstand aus seiner Perspektive verstehen kann.

Verwendung einer anschaulichen Sprache

Wenn CISOs mit dem Vorstand sprechen, müssen sie insbesondere sehr auf ihre Sprache achten. Wird sie zu technisch, kann die Präsentation ins Leere laufen. Da Vorstandsmitglieder meist mit vielen verschiedenen Sachverhalten beschäftigt sind, ist ihre Aufmerksamkeitsspanne sehr kurz. Zudem mögen sie keine Dinge, die sie nicht verstehen. CISOs sollten daher technische Fachwörter und Zusammenhänge so weit wie möglich in geschäftliche Begriffe übersetzen. Sie sollten ferner so prägnant wie möglich sein und möglichst viel visualisieren, anstatt viele Worte zu machen.

Vorbereitung auf mögliche Fragen

Vorstandssitzungen sind kein guter Ort für unangenehme Überraschungen. Daher müssen CISOs es tunlichst vermeiden, von Fragen überrascht zu werden, die sie nicht beantworten können. Bei der Vorbereitung einer Präsentation sollten CISOs beim Erstellen ihrer Unterlagen auch darüber nachdenken, welche Fragen ihnen der Vorstand möglicherweise stellen wird, und sich ihre Antworten im Voraus überlegen.

Problemstellungen mit Lösungsoptionen aufzeigen

CISOs sollten sich nicht zum Verkünder unheilvoller Prophezeiungen machen. Deswegen ist es angezeigt, den Einsatz von Angst, Ungewissheit und Zweifel als Druckmittel zu unterlassen. Das kann schnell auf einen selbst zurückfallen. Stattdessen empfiehlt es sich, mit den dargelegten Problemen gleich eine Reihe von Lösungsoptionen anzubieten. Wichtig ist dabei, dass CISOs nicht in andere Debatten abgleiten, wenn diese während des Gesprächs über Probleme und deren Lösungen auftauchen.

Kleiner Tipp: Themen notieren, zurückstellen und darauf zurückkommen, wenn es passend erscheint. Geht es darum, schlechte Nachrichten zu überbringen, sollten Anschuldigungen oder Konfrontationen während der Übermittlung auf jeden Fall vermieden werden. Am besten, man bereitet die Zuhörer gleich im Voraus schonend darauf vor. Dabei nie vergessen: Vorstände mögen keine Überraschungen - vor allem keine schlechten!

Fokus auf relevante Bedrohungsauswirkungen

Die Kommunikation von Bedrohungen sollte nie zu weit von den geschäftlichen Auswirkungen auf das Unternehmen entfernt sein. Daher müssen CISOs ihre Botschaften darauf konzentrieren, wie die Sicherheit das Unternehmen in die Lage versetzt, neue Märkte zu erschließen, neue Initiativen umzusetzen und das jährliche Verlustrisiko quantitativ zu reduzieren.

In diesem Zusammenhang kann es hilfreich sein, nicht nur die wichtigsten Leistungsindikatoren (KPIs) des Vorstands zu kennen, sondern auch einzuschätzen, welche Auswirkungen mögliche Bedrohungen auf diese KPIs ausüben könnten. Wenn CISOs das Bedrohungsrisiko mit den Auswirkungen auf einen Geschäftsdienst oder die wichtigsten Strategien und Ziele des Vorstands in Beziehung setzen können, so werden sie damit auf offene Ohren stoßen.

Das heißt, Sicherheitsbedenken, die die Aufmerksamkeit des Vorstands verdienen, sollten immer mit dem Kontext versehen werden, wie die Bedrohungen, wenn sie nicht behoben werden, das Unternehmenswachstum behindern oder ein inakzeptables Maß an Betriebs- oder Geschäftsrisiken verursachen können.

So kann ein Sicherheitsverantwortlicher die Aufmerksamkeit des Vorstands viel eher auf sich ziehen, wenn er beispielsweise über das Risiko in der Lieferkette von Unternehmenssoftware spricht und den Return on Investment (ROI) beschreibt, der von der Implementierung eines Programms zur Analyse von Code-Abhängigkeiten erwartet wird.

Sicherheit ist Umsatztreiber und keine Kostenstelle

Ein häufiger Fehler, den CISOs begehen, ist, Sicherheit als eine Kostenstelle auszuloben. Diese Denkweise muss sich ändern, indem CISOs dem Vorstand dabei helfen, Sicherheit als einen sogenannten „Business Enabler“ zu sehen, der Wachstum und Innovation fördert. Nicht selten gehen Sicherheitsverantwortliche zu Vorstandssitzungen mit der Hoffnung, zusätzliche Ressourcen und Budgets zu erhalten, indem sie eine komplexe Liste von technischen Anforderungen begründen wollen.

CISOs können also die Zustimmung des Vorstands gewinnen, indem sie nachweisen, dass Sicherheit ein Umsatztreiber und keine kostspielige Funktion sein kann. Wenn Ausfälle oder Kosten aufgrund einer bestimmten Art von Angriffen auftreten, ist es ebenfalls hilfreich, das Gewinnpotenzial herauszustellen, der sich aus der Beseitigung dieser Bedrohung ergeben würde.

(ID:48418962)