Der Druck auf CISOs wächst, zu beweisen, dass Sicherheit nicht nur eine Kostenstelle ist, sondern ein strategischer Treiber für Geschäftswachstum und Resilienz. Aber die Rechtfertigung von Sicherheitsinvestitionen gegenüber dem Vorstand ist eine ständige Herausforderung, insbesondere angesichts der Kosten für das Risikomanagement und den Schutz von Unternehmenswerten. Es ist ein heikler Balanceakt, bei dem CISOs einen greifbaren Geschäftswert nachweisen müssen, ohne die wichtigsten Leistungsindikatoren (KPIs) zu kompromittieren.
Wie können CISOs die Unterstützung des Vorstands gewinnen? Wir haben mit CISOs von OneMain Financial und Kyndryl gesprochen, um ihre drei wichtigsten Strategien zu erfahren, wie man Sicherheitsinitiativen in konkrete Geschäftsergebnisse umsetzt. Indem sie sich auf diese Ansätze konzentrieren, können CISOs den Wert ihrer Sicherheitsprogramme effektiv kommunizieren und den notwendigen Support vom Vorstand sichern.
Best Practice Nr. 1: Richten Sie die Sicherheitsziele an den Geschäftszielen aus
Sicherheit sollte nicht als isolierte Funktion betrachtet werden, sondern als strategischer Erfolgsfaktor für den Geschäftserfolg. Um dem Vorstand die Rendite (ROI) effektiv zu demonstrieren, müssen CISOs klar darlegen, wie ihre Initiativen direkt zum finanziellen Erfolg des Unternehmens beitragen.
Experience meiner Erfahrung nach sind Vorstandsmitglieder bestrebt, systemische Risiken zu mindern. „Sie möchten sicherstellen, dass die Maschine weiterläuft, wenn ein kleiner Bolzen bricht“, sagt Jane Domboski, CISO bei <a href=\"\">OneMain Financial, einem Unternehmen, das Kunden befähigt, eine bessere finanzielle Zukunft zu erreichen „Indem wir die wichtigsten Risiken erläutern, die wir vermeiden wollen, können wir eine klare Vision für unsere Sicherheitsstrategie darlegen.“
CISOs können das greifbare Showcase ihrer Arbeit zeigen, indem sie Sicherheitsziele mit übergeordneten Geschäftszielen in Einklang bringen. Zum Beispiel können sie zeigen, wie eine robuste Cybersicherheitsstrategie die Einnahmequellen schützen, Betriebskosten senken oder Risiken mindern kann, die das Wachstum behindern könnten. Die Quantifizierung der Auswirkungen von Sicherheit auf KPIs – z. B. wie verbesserte Incident Response-Zeiten Ausfallzeiten und finanzielle Verluste reduziert haben – wird den CISOs helfen, einen überzeugenden Business-Case für kontinuierliche Investitionen zu erstellen.
Best Practice Nr. 2: Lassen Sie die Daten sprechen
Daten sind der Eckpfeiler eines effektiven Storytellings. CISOs müssen die Macht von Kennzahlen nutzen, um eine wirkungsvolle Erzählung zu schaffen, die den Wert ihrer Sicherheitsinvestitionen in der Praxis verdeutlicht. Indem sie die richtigen Kennzahlen auswählen und diese klar und prägnant präsentieren, können CISOs komplexe Sicherheitsinformationen in umsetzbare Erkenntnisse für den Vorstand verwandeln.
„Bei <a href=\" \">Kyndryl tracken wir die Reife, also was wir in unserem Sicherheitsprogramm tun, und die Effektivität, also wie gut wir es tun“, sagt Cory Musselman, CISO bei Kyndryl, dem weltweit größten Anbieter von IT-Infrastrukturdienstleistungen „Wir haben eine ‚Cyber-Balance-Scorecard‘ erstellt, um diese KPIs jedes Quartal zu messen, damit wir der Führungsebene und dem Vorstand zeigen können, dass wir unseren Plan umsetzen.“
Wichtige Kennzahlen wie die Reduzierung von Sicherheitsvorfällen, verbesserte Incident Response-Zeiten und eine gesteigerte Benutzerproduktivität können aussagekräftige Indikatoren für die Effektivität der Sicherheitsmaßnahmen sein. Es ist jedoch wichtig, über bloße Zahlen hinauszugehen und Kontext zu bieten. Um sicherzustellen, dass der Vorstand die Bedeutung der Daten vollständig erfasst, kann es hilfreich sein, leicht verständliche Visualisierungen wie Diagramme, Grafiken und andere visuelle Hilfsmittel bereitzustellen. Indem CISOs eine Geschichte mit Daten erzählen, können sie ein starkes Argument für fortlaufende Sicherheitsinvestitionen aufbauen.
„Ich verwende Spinnendiagramme, um unserem Vorstand zu zeigen, wie hoch unser inhärentes Risiko wäre, wenn wir keine Sicherheitskontrollen hätten.“ „Dann zeige ich Ihnen, wo wir jetzt mit unserem aktuellen Satz an Kontrollen stehen und wo wir sein wollen“, erklärt Domboski „Dies zeigt ihnen, dass unsere Identity-Plattformen genau das sind, was wir benötigen, um Zero Trust zu implementieren und unser Geschäft abzusichern.“
Best Practice Nr. 3: Von der Kostenstelle zum Werttreiber
Um den Wert von Sicherheitsinvestitionen wirklich zu demonstrieren, müssen CISOs effektiv kommunizieren, wie ihre Initiativen Risiken mindern und kostspielige Sicherheitsverletzungen verhindern. Die Berechnung des ROI von Sicherheitsinitiativen kann eine Herausforderung sein – aber durch die Quantifizierung der potenziellen finanziellen, rechtlichen und rufschädigenden Auswirkungen von Sicherheitsvorfällen können CISOs einen überzeugenden Business Case für erhöhte Sicherheitsausgaben erstellen.
„Wir verwenden Beispiele für reale Angriffe und zeigen, wie wir sie entschärft haben“, erklärt Musselman „Dies gibt dem Vorstand Kontext und hilft ihm, den ROI besser zu verstehen.“ „Es wird von einem potenziell vagen Konzept zu etwas Realem und Greifbarem.“
Um dem Vorstand von OneMain Financial den ROI nachzuweisen, vergleicht Domboski den Prozentsatz der Angriffe, die durch Technologie behoben werden, mit denen, die menschliches Eingreifen erfordern. „Sie sagt: Wenn der Vorstand die Trends bei den Angriffen gegen uns erkennen kann und wie viele davon allein durch Technologie abgewehrt werden, verstehen sie die Rendite.“
Den Support des Vorstands für langfristigen Erfolg sichern
Den Vorstand vom Wert von Sicherheitsinvestitionen zu überzeugen, ist sowohl eine kritische Herausforderung als auch eine große Chance für CISOs. Der Nachweis des Sicherheits-ROI geht über die bloße Rechtfertigung von Ausgaben hinaus — es geht darum, Sicherheit als strategischen Treiber für den Geschäftserfolg zu positionieren.
Indem Sie diese Best Practice von erfahrenen CISOs übernehmen, können Sie Vertrauen aufbauen, Support gewinnen und die notwendigen Ressourcen sichern, um Ihr Unternehmen vor sich entwickelnden Bedrohungen zu schützen. Der Schlüssel ist, eine fesselnde Geschichte zu erzählen, die mit den Prioritäten des Vorstands übereinstimmt und zeigt, wie Sicherheit die Zukunft Ihres Unternehmens sichert.
Melden Sie sich für unser bevorstehendes Webinar an mit Jane Domboski, CISO bei OneMain Financial, und Cory Musselman, CISO bei Kyndryl, um mehr darüber zu erfahren, wie sie Identity zu einem Schlüsselelement ihrer Sicherheitsorganisation machen.
