Technisches Fachwissen bringt Sie nur bis zu einem bestimmten Punkt. Um einen Platz am Exekutivtisch zu erhalten, müssen die heutigen CISOs ihr Geschäft verstehen. [...]
Die folgende Vignette war der Auslöser für mehrere Gespräche zwischen den Autoren darüber, warum es für die heutigen CISOs ebenso wichtig ist, ein Unternehmensführer zu sein, wie ein Sicherheitsprofi. Während die grundlegende Voraussetzung für eine Anstellung ist, ein Sicherheitsexperte zu sein, muss jeder CISO proaktiv lernen, außerdem ein Geschäftsexperte zu sein, wenn er als Mitglied des Führungsteams anerkannt werden will.
„Einer der peinlichsten Momente meines Lebens ereignete sich, als ein CISO-Kollege mich einlud, seinem Vorstand ein Cyber-Intelligence Briefing zu geben. Im Anschluss an die Präsentation gab mein Kollege dem Vorstand sein vierteljährliches Sicherheits-Update. Nach seiner Präsentation wurden ihm einige Fragen gestellt, und ehrlich gesagt ging es ihm damit nicht allzu gut. Er fing an, langsam etwas nervös zu werden, weil die Fragen speziell auf das Geschäft ausgerichtet waren und außerhalb seiner Sicherheits-Komfortzone lagen. Schließlich fragte ihn der Vorsitzende: „Wissen Sie, wie wir Einnahmen generieren?“ Mein Kollege war sprachlos, und zu sagen, dass das Gespräch schnell ins Stocken geriet, ist eine Untertreibung. Es war eine schreckliche Erfahrung für alle im Saal, aber eine der besten Lektionen, die ich je erlebt habe, was die Bedeutung der Frage betrifft, warum der Leiter der Informationssicherheit auch das Geschäft kennen und verstehen sollte, wie das Unternehmen Geld verdient.“
Im Laufe unserer Sicherheitslaufbahn haben wir mit Hunderten von Menschen gesprochen und sind allgemein überrascht, dass so wenige CISOs mit dem eigentlichen Geschäftsbereich ihres Unternehmens ausreichend vertraut sind. Die überwiegende Mehrheit der Vorträge, Präsentationen und Gespräche auf sicherheitsbezogenen Konferenzen konzentriert sich auf Technologie, Zertifizierungen und Richtlinien; es ist selten zu hören, dass Sicherheitsleute auf irgendeiner Detailstufe über die vielen Faktoren sprechen, die zu den Einnahmen in ihrem Business beitragen.
Sich einen Platz am Tisch verdienen
Zwar erhalten die meisten Menschen einen CISO- oder leitenden Sicherheitsjob aufgrund ihres Wissens über Risiken, Sicherheitstechnologie und ihres Verständnisses der Sicherheitsbedrohungen, denen das Unternehmen ausgesetzt ist, aber das bringt ihnen keinen Sitz am Vorstandstisch ein. Ob es ihnen gefällt oder nicht, Sicherheit ist in den meisten Unternehmen nicht grundlegend für die Erzielung von Einnahmen, so dass die Sicherheit mit der Führungsspitze um Sichtbarkeit konkurriert. CISOs werden meist immer noch als Technologie-Freaks wahrgenommen, die nicht breit genug denken, um Teil des Geschäftslebens zu sein.
CISOs haben in den letzten 20 Jahren versucht zu begründen, dass sie es verdienen, Teil des Führungsteams der Exekutive zu sein, aber die meisten Sicherheitsexperten haben einfach ihre Hausaufgaben nicht gemacht, um diese Chance zu nutzen. Wir sprechen oft über Sicherheitsrisiken, in denen sich die meisten CISOs recht gut auskennen. Aber was ist mit anderen Geschäftsrisiken wie Wettbewerbsrisiko, Inflationsrisiko, Marktrisiko, politisches Risiko, Betriebsrisiko oder regulatorische Risiken außerhalb von Dingen wie GDPR, CCPA, HIPAA oder PCI? Dies sind die Arten von Risiken, über die Führungskräfte in der Wirtschaft täglich nachdenken, und die Erwartungen wachsen, dass CISOs zwar nicht unbedingt Experten sein müssen, aber zumindest mit diesen Diskussionen vertraut sein sollten.
Wir glauben, dass Sicherheitsleiter die Grundlagen der Art und Weise verstehen lernen müssen, wie ihr Unternehmen Einnahmen erzielt, um richtig beurteilen zu können, welche Sicherheitsprogramme für ihr Unternehmen geeignet sind. Sie müssen sowohl verstehen, wie das Unternehmen Einnahmen erzielt, als auch die Prozesse, die zur Wertschöpfung beitragen.
Einkünfte und Wert verstehen
Die meisten Geschäftsmodelle sind ziemlich einfach: Verkaufen Sie ein Produkt oder eine Dienstleistung für mehr, als die Herstellung des Produkts oder die Erbringung der Dienstleistung kostet. Zum Beispiel kauft ein Online-Händler einen Computer von einem Lieferanten und verkauft den Computer dann zu einem höheren Preis als die Anschaffungskosten an einen Verbraucher weiter. Der erfolgreiche Einzelhändler versteht, wie diese Verkäufe funktionieren, und ist mit dem Inventar-Ein- und Inventar-Aus-Modell sowie mit der geographischen und demographischen Lage dieser Verkäufe bestens vertraut. Eine Ölgesellschaft oder eine Energieversorgungsgesellschaft muss ihr Barrel Öl oder ihre Kilowattstunde Strom für mehr als die Gesamtkosten für die Produktion verkaufen, wobei alle materiellen und immateriellen Faktoren, die in diese Produktion einfließen, berücksichtigt werden müssen.
Der Wert ist etwas komplexer. Wenn Sie für ein Unternehmen arbeiten, das Skateboards herstellt, dann gehört zu einem Geschäftsgespräch viel mehr, als einfach ein Stück Holz oder Fiberglas zu nehmen und vier Räder hinzuzufügen.
- Wie baut man ein besseres Skateboard als die Konkurrenz?
- Haben Sie geistiges Eigentum, das geschützt werden muss?
- Welche demografischen Gruppen kaufen Ihre Skateboards und wie vermarkten Sie sie?
- Welche gesetzlichen, ökologischen und steuerlichen Bestimmungen müssen eingehalten werden, bevor ein Skateboard abgepackt wird und die Fabrik verlässt?
Je besser ein CISO alle Geheimzutaten kennt, desto besser kann er ein Sicherheitsprogramm zu deren Schutz aufbauen. Die Risiken sind für verschiedene Wirtschaftssektoren unterschiedlich, und der CISO muss außerdem den Wert verstehen, um die Sicherheitsrisiken richtig zu bewerten, und zwar so, dass das Management und der Vorstand sie ebenfalls verstehen.
Argumente für die Annäherung von Sicherheit und Wirtschaft
Wenn ein Sicherheitsbeauftragter mit Weitblick das Business wirklich versteht, wird das Sicherheitsprogramm auf das ausgerichtet, was für das Unternehmen am wichtigsten ist. Die Überwachung des Geschäftsverlaufs und ein Sicherheitsprogramm, das agil genug ist, um auf Veränderungen im Markt zu reagieren, ermöglicht eine echte und angemessene Risikominderung.
Wenn Sie Ihr Geschäft verstehen, wird Ihr Sicherheitsprogramm für das Führungsteam Sinn machen, und sie werden die Sicherheit mehr schätzen und respektieren, weil die Ausrichtung auf das Geschäft offensichtlich ist. Auf diese Weise verdienen sich CISOs einen Platz am Vorstandstisch.
*Mark Weatherford ist Chief Strategy Officer beim National Cybersecurity Center.
**Henry Praw ist der VP für technische Operationen und CISO bei OpenTable.
Be the first to comment