DE
DE EN FR JA AR ES
Startseite | Blog | Wie man sich in Vorstandssitzungen bewegt: Eine Fibel für CISOs

Wie man sich in Vorstandssitzungen zurechtfindet: Ein Leitfaden für CISOs

Geschrieben von: Orlaith Traynor

9 min lesen - 28. August 2024

Chief Information Security Officers (CISOs) sind die Ansprechpartner für die Cybersicherheit eines jeden Unternehmens. Und wenn es um die Vorstandsetage geht, muss jeder CISO in der Lage sein, dem Vorstand jeden Aspekt des Risikomanagements klar zu vermitteln.

Gespräche auf Vorstands- und Geschäftsführungsebene bieten die Möglichkeit, Fachwissen über Cybersicherheit auszutauschen, Schwachstellen aufzuzeigen und zur Entscheidungsfindung beizutragen.

In dieser FAQ-Fibel erfahren Sie, wie Sie sich auf eine Vorstandssitzung vorbereiten, damit Sie Ihre Erkenntnisse selbstbewusst weitergeben und die Unternehmensleitung informieren können.

1. Welche Rolle spielt ein CISO bei Vorstandssitzungen?

Ein CISO ist so etwas wie die "Brücke", die die Cybersicherheit eines Unternehmens mit der Unternehmensführung und der Gesetzgebung verbindet. Mit anderen Worten: Der CISO soll sicherstellen, dass jedes Unternehmen seine Cyberrisiken auf eine konforme Weise verwaltet.

Wenn es darum geht, die Vorstandsmitglieder auf den neuesten Stand zu bringen, muss der CISO mitreden:

  • Aufkommende Bedrohungen: Dies sind alle Cyber-Risiken, denen das Unternehmen ausgesetzt sein könnte, wie z. B. Ransomware-Angriffe oder Unterbrechungen der Lieferkette
  • Aktuelle Schwachstellen: die Cyber-Risiken, die auf der Grundlage der aktuellen Sicherheitsmaßnahmen der Organisation am wahrscheinlichsten eintreten
  • Strategien für das Risikomanagement: Die Initiativen, die ergriffen werden, um diesen Cyberrisiken entgegenzuwirken
  • Einhaltung der Vorschriften: ob das Unternehmen derzeit die gesetzlichen Vorschriften und Branchenstandards einhält (mehr dazu im nächsten Abschnitt)
  • Künftige Trends und Benchmarks: Wie sich die Cybersicherheitslandschaft entwickelt, z. B. durch generative KI, digitale Transformation oder das Internet der Dinge (IoT), und was Unternehmen tun können, um darauf vorbereitet zu sein

2. Welche US-Gesetze sollten CISOs kennen?

Jedes Land hat seine eigenen Regeln und Vorschriften, aber hier sind einige US-spezifische Gesetze, die jeder CISO kennen sollte, um für den Vorstand gerüstet zu sein.

  1. Der Health Insurance Portability and Accountability Act (HIPAA): Ein Gesetz zum Schutz der Vertraulichkeit von Gesundheitsdaten von Patienten.
  2. Das Gramm-Leach-Bliley-Gesetz (GLBA): Ein Gesetz, das alle Finanzinstitute verpflichtet, mitzuteilen, wie sie Informationen weitergeben und die Daten ihrer Kunden schützen.
  3. Das Sarbanes-Oxley-Gesetz (SOX): Eine Reihe von Prüfungs- und Finanzvorschriften für öffentliche Unternehmen, die befolgt werden müssen.
  4. Der Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS): Eine Reihe von Datensicherheitsstandards und Ressourcen zur Erleichterung sicherer Zahlungen für alle.

Diese Liste ist nicht erschöpfend, da jede Branche ihre eigenen Standards hat. Jeder CISO und Cybersecurity-Experte sollte über ein umfassendes Wissen über diese Standards verfügen, da sie für seine Initiativen und Entscheidungen maßgeblich sind.

3. Wie sollten sich CISOs auf Vorstandssitzungen vorbereiten?

Ein Treffen mit der Unternehmensleitung kann sich entmutigend anfühlen, aber mit der richtigen Vorbereitung kann jeder CISO oder jedes Sicherheitsteam dieses Treffen mit Bravour meistern.

Erstens: Sie sollten Erfassung relevanter Metriken zur Cybersicherheit. Die Verwendung von Daten wird dazu beitragen, die Verwaltungsratsmitglieder von den besten Strategien und Initiativen für die Zukunft zu überzeugen. (Wir werden mehr über Metriken in FAQ #6 sprechen).

Zweitens: Sie sollten auf alle Fragen vorbereitet sein die Menschen in Führungspositionen fragen könnten. Indem sie Fragen und Einwände vorwegnehmen, können sie ihr Cyber-Fachwissen gleich selbstbewusst weitergeben.

Und schließlich sollten die CISOs sich bewusst sein, wie sich die Cybersicherheit verändert. Die neuesten Erkenntnisse auf dem Laufenden zu halten, gibt den Vorstandsmitgliedern und Interessenvertretern die Gewissheit, dass sie in diesem Spiel einen Schritt voraus sind.

Zum Beispiel können Sie CybelAngels Bericht zur Cybersicherheit 2024 um die aktuelle Situation zu verstehen und sie als Grundlage für Ihre Strategie für dieses Jahr zu nutzen.

CybelAngel's lesen Bericht zur Cybersicherheit 2024 um die aktuelle Cybersicherheitslandschaft zu verstehen.

4. Was sind die wesentlichen Bestandteile der Präsentation eines CISOs?

Hier finden Sie einen Fragebogen, der Ihnen helfen soll, Ihre Präsentation für die Sitze im Verwaltungsrat detaillierter vorzubereiten.

  1. Metriken zur Cybersicherheit: Was zeigen die Daten (z. B. die Anzahl der Sicherheitsvorfälle oder die Reaktionszeiten)? Muss etwas geändert werden?
  2. Die Bedrohungslandschaft: Welches sind die wichtigsten Cyber-Risiken, auf die man derzeit achten sollte? Welche Trends zeichnen sich ab?
  3. Aktuelle Maßnahmen zur Cybersicherheit: Was tun wir, um diese Cyberrisiken zu vermeiden? Was sind unsere Stärken und Schwächen?
  4. Pläne für die Reaktion auf Zwischenfälle: Was passiert, wenn es einen Cyberangriff gibt? Wie gehen wir das frontal an? Und haben wir schon Simulationen dazu durchgeführt?
  5. Aktualisierungen der Bemühungen um die Einhaltung der Vorschriften: Sind wir mit der aktuellen Unternehmensführung und den Gesetzen konform? Wann haben wir das letzte Mal ein Audit, eine Zertifizierung oder eine Bewertung erhalten?
  6. Blick in die Zukunft: Welche Initiativen planen wir für die kommenden Monate? Wie stehen diese im Einklang mit den allgemeinen Unternehmenszielen des Vorstands?

5. Welche Metriken sollten CISOs dem Vorstand berichten?

Sie sollten Metriken zur Cybersicherheit hervorheben, die für Vorstandsmitglieder relevant sind, einschließlich (aber nicht beschränkt auf):

  • Anzahl und Schweregrad von Sicherheitsvorfällen: Dies zeigt, wie wirksam Ihre derzeitigen Maßnahmen sind
  • Reaktionszeiten auf Vorfälle: Dies ist ein Indikator dafür, wie effektiv Sie eine Bedrohung erkennen und beseitigen können
  • Metriken zur Einhaltung der Vorschriften: Diese zeigen, inwieweit Sie sich an die geltenden Rechtsvorschriften halten
  • Risikoexposition von kritischen Vermögenswerten: Dies zeigt, wie hoch die Wahrscheinlichkeit ist, dass Ihre Daten kompromittiert werden
  • Investitionsrendite für Cybersicherheit (ROI): So können Sie den Einsatz von Cybersicherheitsmaßnahmen rechtfertigen und den finanziellen Nutzen für Ihr Unternehmen aufzeigen.

6. Wie können CISOs effektiv mit dem Vorstand kommunizieren?

Denken Sie daran, dass nicht jeder über eine fortgeschrittene Ausbildung in Cybersicherheit verfügt! Die Vorstandsmitglieder verstehen vielleicht nicht alle Ihre technischen Fachkenntnisse, daher ist es wichtig, die Informationen so aufzuschlüsseln, dass sie verständlich und nachvollziehbar sind.

Erstens: Vergewissern Sie sich, dass Sie eine klare Sprache verwenden. Technische Schlagworte mögen für Sie klug klingen, aber sie helfen Ihrem Publikum nicht. Bevormunden Sie den Vorstand nicht, aber halten Sie Ihre Erklärungen auch klar und einfach, um Verwirrung zu vermeiden.

Darüber hinaus sollten Sie immer versuchen Sie, Beispiele und visuelle Hilfen zu geben um Ihre Arbeit zu präsentieren. Außerdem können Sie Fallstudien veröffentlichen. Zum Beispiel, sogar Microsoft wurde Opfer eines Cyberangriffs im Januar, und LinkedIn hatte ein Datenleck für 500 Millionen Nutzer im letzten Jahr - das zeigt, dass niemand immun ist! Geschichten wie diese werden die Bedeutung Ihrer Rolle hervorheben.

Endlich, Verknüpfung mit den wichtigsten Unternehmenszielen. Der Vorstand versteht vielleicht nicht jeden Aspekt der Cybersicherheit. Wenn Sie jedoch eine Verbindung zu den weiter gefassten Zielen des Unternehmens herstellen können, z. B. Rentabilität oder Skalierung, dann werden Ihre Erkenntnisse viel mehr Anklang finden. Wir werden dies in FAQ #11 weiter ausführen.

7. Welchen Herausforderungen sehen sich CISOs bei Vorstandssitzungen häufig gegenüber?

CISOs, CIOs und Sicherheitsverantwortliche haben oft begrenzte Zeit ihr Cyber-Fachwissen zu teilen. Eine Lösung für dieses Problem besteht darin, sich kurz zu fassen und sich auf die wichtigsten Erkenntnisse und Empfehlungen zu konzentrieren.

Zusätzlich wird eine Mangel an technischem Fachwissen unter den Vorstandsmitgliedern kann ein Nachteil für CISOs sein. Wie im letzten Abschnitt beschrieben, müssen sie Wege finden, um klar zu kommunizieren, ohne dabei herablassend zu sein.

Schließlich können einige Vorstandsmitglieder nicht in Cybersicherheit investieren wollen. In der Regel liegt das daran, dass sie die Rentabilität nicht verstehen. Wie Sie das Problem lösen können, erfahren Sie in FAQ #11.

8. Wie können CISOs die Bedenken von Vorstandsmitgliedern bezüglich der Cybersicherheit ansprechen?

Vorstandsmitglieder könnten sich fragen, ob sich Cybersicherheit lohnt oder ob sie wirklich etwas bewirkt. Plus, nur 3 von 10 Direktoren sind zuversichtlich, dass der Vorstand eine Cyber-Krise effektiv bewältigen kann. 60% der Befragten in der Spencer Stuart-Umfrage nannten Cybersicherheit als ein nützliches Thema für die Entwicklung, Schulung und Weiterbildung von Vorständen.

Hier sind drei Möglichkeiten, dies zu erreichen.

  1. Geben Sie Beispiele für Bedrohungen der Cybersicherheit: Erzählen Sie von realen Vorfällen im Bereich der Cybersicherheit und sprechen Sie über die Folgen eines Angriffs.
  2. Aufzeigen des ROI von Cybersicherheitsinitiativen: Zeigen Sie die Kosteneinsparungen und die Risikominderung auf. Zum Beispiel Cybersicherheitsdienste Kosten 8% der durchschnittlichen Kosten um sich von einem Ransomware-Angriff zu erholen. Mit anderen Worten: Vorbeugen ist besser (und billiger) als heilen.
  3. Informieren Sie Ihr Unternehmen proaktiv: Führen Sie Briefings oder Sitzungen durch, um den Vorstandsmitgliedern die Grundsätze und die Bedeutung der Cybersicherheit näher zu bringen.

9. Welches sind die besten Praktiken für die Zusammenarbeit mit dem Vorstand außerhalb von formellen Sitzungen?

Der Austausch mit Vorstandsmitgliedern außerhalb dieser Sitzungen ist nicht nur erwünscht, sondern unerlässlich! Je kommunikativer die CISOs sind, desto besser können sie mit dem Vorstand im Einklang bleiben.

CISOs sollten die Vorstandsmitglieder ermutigen, sich zu persönlichen Treffen, Briefings und Schulungen zu verabreden, wann immer sie möchten. So bleiben alle auf dem gleichen Stand und die Bedeutung der Cybersicherheit für das gesamte Unternehmen wird gestärkt.

10. Wie sollten CISOs bei Vorstandssitzungen mit sensiblen Cybersicherheitsvorfällen umgehen?

Cybersecurity-Vorfälle können heikel sein, und CISOs müssen ein Gleichgewicht zwischen Transparenz, Vertraulichkeit und effektiver Kommunikation finden.

Im Folgenden finden Sie fünf bewährte Verfahren, die Ihnen dabei helfen, es richtig zu machen.

  1. Bleiben Sie gelassen und professionell: In stressigen Momenten können die Emotionen leicht hochkochen. Bleiben Sie jedoch ruhig und bekräftigen Sie Ihre Zuversicht, dass der Vorfall bewältigt werden kann.
  2. Aktualisierungen auf hohem Niveau teilen: Geben Sie einen Überblick über die Geschehnisse, die möglichen Auswirkungen und die unternommenen Schritte, um sie zu bewältigen.
  3. Erwähnen Sie die rechtlichen Folgen und die Vertraulichkeit: Erläutern Sie die rechtlichen Anforderungen während dieser Zeit und erinnern Sie den Vorstand daran, die Vertraulichkeitsbestimmungen unbedingt einzuhalten.
  4. Beruhigen Sie sich und teilen Sie die nächsten Schritte mit: Bestätigen Sie, dass das Problem mit höchster Priorität behandelt wird, und legen Sie dar, wie Sie den Schaden begrenzen und verhindern, dass er sich wiederholt.
  5. Liefern Sie regelmäßig Aktualisierungen: Halten Sie den Vorstand über alle Fortschritte auf dem Laufenden. Dies stärkt das Vertrauen und hält sie über die Entwicklung der Situation auf dem Laufenden.

11. Wie können CISOs Cybersicherheitsinitiativen mit Unternehmenszielen in Einklang bringen?

Wenn Sie Ihre Cybersicherheitsinitiativen auf die allgemeine Unternehmensstrategie abstimmen, können Sie alle Beteiligten mit ins Boot holen.

Zum Beispiel können Sie:

  • Überprüfen Sie Ihre Unternehmensziele: Und skizzieren Sie, wie die Cybersicherheit diese Ziele ergänzen und sichern wird
  • Erfolgskennzahlen teilen: Legen Sie KPIs fest, um zu zeigen, wie Ihre Bemühungen die Geschäftsergebnisse ergänzen, z. B. verbessertes Kundenvertrauen
  • Konzentrieren Sie sich auf die Auswirkungen auf das Geschäft, nicht auf technische Erkenntnisse: Die Kommunikation in geschäftlichen Begriffen findet bei den Vorstandsmitgliedern mehr Anklang
  • ROI nachweisen: Aufzeigen, dass Investitionen in die Cybersicherheit viel billiger sind als die Kosten einer Datenschutzverletzung und dass sie den Wert und den Ruf des Unternehmens schützen können
  • Beziehen Sie alle ein: Sicherstellen, dass jede Abteilung in die Cybersicherheit investiert, z. B. durch regelmäßige Schulungen und Briefings

12. Welche Ressourcen können CISOs bei der Vorbereitung auf Vorstandssitzungen helfen?

Die Vorbereitung auf eine Vorstandssitzung kann stressig sein. Hier sind 7 Ressourcen, die den gesamten Prozess vereinfachen.

Das NIST Cybersecurity Framework.
  1. Das NIST Cybersecurity Framework: Eine Reihe von Cybersicherheitsrichtlinien des US National Institute of Standards and Technology.
  2. EC-Council: Eine Zertifizierungsplattform für CISOs, die ihnen helfen soll, "für die C-Suite zu trainieren".
  3. Gartner: Holen Sie sich die neuesten Berichte und Roadmaps für CISOs im Jahr 2024.
  4. Dunkle Lektüre: Eine Nachrichtenseite der Cybersicherheits-Community, um über die neuesten Entwicklungen in der Welt auf dem Laufenden zu bleiben.
  5. CSOonline: Eine Website, die über Neuigkeiten aus dem Bereich der Cybersicherheit berichtet und Sie über die neuesten Trends und Geschichten auf dem Laufenden hält.
  6. TechTarget - CIO suchen: Eine Nachrichtenseite zu digitaler Transformation, IT und Risikomanagement für Chief Information Officers (CIOs).
  7. Der CybelAngel Blog: Ein Blog, der sich den EASM-Cyberwissen widmet und alles von Domainbesetzungen bis zum Dark Web und darüber hinaus behandelt.

13. Was sind die Folgen einer unzureichenden Kommunikation mit dem Vorstand?

Die Rolle eines jeden CISO wird durch Kommunikation, Kommunikation... und noch mehr Kommunikation untermauert. Wenn ein CISO es versäumt, effektiv mit dem Vorstand zu kommunizieren, kann dies Folgen für das gesamte Unternehmen haben.

Erstens: Die Organisation wird anfälliger für Cyber-Bedrohungen. Wenn der Vorstand die Risiken der Cybersicherheit nicht versteht, ist er möglicherweise weniger bereit, in Sicherheitsinitiativen zu investieren, wodurch das Unternehmen anfälliger für Datenschutzverletzungen, Ransomware-Angriffe und mehr wird.

Zweitens: Das Unternehmen kann mehr mit Geldbußen und Strafen rechnen müssen. Wenn der Vorstand der Einhaltung der Vorschriften keine Priorität einräumt, könnten einige Standards durch die Maschen fallen, was später zu Geldstrafen und Rufschädigung führen könnte.

Die Yahoo-Aktionäre wurden 2019 mit der New York Times Die ehemaligen Führungskräfte und Direktoren von Yahoo haben sich bereit erklärt, $29 Millionen zu zahlen. regeln. dass sie ihre treuhänderischen Pflichten im Umgang mit Kundendaten während einer Reihe von Cyberangriffen von 2013 bis 2016 verletzt haben."

Drittens, das Unternehmen der Ruf könnte leiden. Ohne die richtigen Cybersicherheitsmaßnahmen könnte eine Marke ihre Integrität verlieren, was sich wiederum auf das Vertrauen von Kunden und Investoren sowie auf künftige Geschäftsmöglichkeiten auswirken könnte.

14. Wie können CISOs ihr Profil in Vorbereitung auf Vorstandssitzungen stärken?

Um sich als Experte zu profilieren und das Vertrauen der Vorstandsmitglieder zu gewinnen, ist es wichtig, Ihr professionelles Image zu pflegen, sowohl während als auch zwischen den Sitzungen.

Sie können zum Beispiel...

  • Erweitern Sie Ihr Netzwerk: Nehmen Sie an Branchenveranstaltungen teil, tauschen Sie sich mit der CISO-Community aus und sprechen Sie mit einflussreichen Persönlichkeiten in Ihrer Nische.
  • Bitten Sie darum, während der gesamten Sitzung zu bleiben: Dies bedeutet, dass Sie Beziehungen zum Vorstand aufbauen und die allgemeinen Unternehmensziele besser verstehen können.
  • Arbeiten Sie an Ihren Führungs- und Kommunikationsfähigkeiten: Dieses Wissen wird Ihnen helfen, sich im Sitzungssaal zu profilieren und Gehör zu finden.

Indem Sie Ihre Kontaktliste erweitern, während der gesamten Sitzung anwesend sind und Ihre Soft Skills ausbauen, können Sie Ihre fachliche Kompetenz untermauern und das Vertrauen des Verwaltungsrats gewinnen.

15. Was ist, wenn ein CISO nicht zu Vorstandssitzungen eingeladen wird?

Die Stimmen der CISOs sind in Vorstandssitzungen stark unterrepräsentiert. Eine kürzlich durchgeführte Studie ergab, dass nur 1,4% der Unternehmen haben einen CISO in ihrem Vorstand - obwohl Cybersicherheit buchstäblich das Image einer Marke ausmachen oder zerstören" kann.

Dies bedeutet, dass CISOs müssen proaktiv darauf drängen, an Vorstandssitzungen teilzunehmen um sicherzustellen, dass die Cybersicherheit eine Priorität bleibt. Dies könnte bedeuten, dass Sie sich mit Vorstandsmitgliedern vernetzen, um das Thema anzusprechen. Es könnte auch bedeuten, dass Sie eine Präsentation vorbereiten, um Ihre Anwesenheit bei diesen Sitzungen zu rechtfertigen.

Ergreifen Sie proaktiv Maßnahmen, um die Bedeutung Ihrer Rolle hervorzuheben und zu verdeutlichen, warum sie auch für den Vorstand wichtig sein sollte. Denken Sie daran, dass der Erfolg des gesamten Unternehmens davon abhängt - scheuen Sie sich also nicht, auf einen Sitz im Vorstand zu drängen.

(Sie werden es Ihnen später danken.)

Schlussfolgerung

Entgegen den aktuellen Trends sollten CISOs an jeder einzelnen Vorstandssitzung teilnehmen. Ihr technisches Fachwissen wird den Vorstandsmitgliedern helfen, die richtigen Entscheidungen zu treffen und die Sicherheit ihres Unternehmens zu gewährleisten.

Wenn Sie ein CISO sind und sich auf eine Vorstandssitzung vorbereiten, sollten Sie daran denken:

  • Konzentrieren Sie sich auf die Unternehmensziele: Wenn Ihre Cybersicherheitsinitiativen mit den Unternehmenszielen übereinstimmen, ist es wahrscheinlicher, dass der Vorstand sie beachtet.
  • Setzen Sie auf Zusammenarbeit und Transparenz: Pflegen Sie Ihre Kontakte zu den Vorstandsmitgliedern und ermutigen Sie sie, sich jederzeit an Sie zu wenden.
  • Kommunizieren Sie klar und deutlich: Vermeiden Sie Fachjargon und erklären Sie alles in klaren, einfachen Worten, damit alle auf derselben Seite stehen

Und denken Sie daran: Wenn Sie nicht zu Vorstandssitzungen eingeladen werden, ist dies Ihr Zeichen, dies zu ändern. Das Fachwissen des CISO ist für das Funktionieren eines jeden Unternehmens unerlässlich, und die Vorstandsmitglieder werden von Ihren Erkenntnissen profitieren.

Über den Autor

Orlaith Traynor

Orlaith ist eine in Paris ansässige B2B-Content-Marketing-Strategin, die sich auf Cybersicherheit und Technologie spezialisiert hat und über fundierte Kenntnisse in SEO, AEO, Redaktionsplanung und CMS-Management verfügt. Als Content-Leiterin bei Unternehmen wie CybelAngel und PhantomBuster unterstützt sie Technologiemarken bei der Entwicklung von Content-Strategien, die die organische Sichtbarkeit und das Vertrauen der Käufer in wettbewerbsintensiven Märkten fördern.

lies alle Artikel