Den Vorstand überzeugen: Wie CISOs den ROI von Sicherheit belegen

CISOs stehen unter Druck zu beweisen, dass Sicherheit nicht nur eine Kostenstelle, sondern auch ein strategischer Motor für Unternehmenswachstum und Widerstandsfähigkeit ist. Die Rechtfertigung von Sicherheitsinvestitionen gegenüber dem Vorstand ist jedoch eine ständige Herausforderung. Das liegt vor allem an den Kosten für das Risikomanagement und den Schutz der Unternehmensressourcen, bei denen CISOs einen heiklen Balanceakt vollbringen müssen, um einen greifbaren Mehrwert aufzuzeigen, ohne die wichtigsten Leistungsindikatoren (KPIs) zu gefährden.

Wie können CISOs den Vorstand überzeugen? Wir haben mit CISOs von OneMain Financial und Kyndryl gesprochen und sie nach ihren drei besten Strategien für die Umwandlung von Sicherheitsinitiativen in konkrete Geschäftsergebnisse gefragt. Wenn sich CISOs auf diese Ansätze konzentrieren, können sie den Wert ihrer Sicherheitsprogramme effektiv kommunizieren und sich die notwendige Unterstützung des Vorstands sichern.

Best Practice Nr. 1: Sicherheitsziele an Unternehmenszielen ausrichten

Sicherheit darf nicht isoliert betrachtet werden, sondern sollte als strategisches Mittel auf dem Weg zum Erfolg des Unternehmens wahrgenommen werden. Um den Return on Investment (ROI) gegenüber dem Vorstand zu verdeutlichen, müssen CISOs klar aufzeigen, welchen unmittelbaren Beitrag ihre Initiativen zum Unternehmensergebnis leisten.

„Meiner Erfahrung nach sind die Vorstandsmitglieder darauf bedacht, systemische Risiken zu minimieren. Sie wollen sicherstellen, dass die Maschine auch dann weiterläuft, wenn einmal eine kleine Schraube bricht“, sagt Jane Domboski, CISO bei OneMain Financial, einem Unternehmen, das seinen Kunden eine bessere finanzielle Zukunft ermöglicht. „Wenn wir aufzeigen, welche Hauptrisiken wir vermeiden wollen, können wir eine klare Vision für unsere Sicherheitsstrategie entwerfen.“

CISOs können greifbare Ergebnisse ihrer Arbeit vorlegen, wenn sie die Sicherheitsziele an den übergeordneten Unternehmenszielen ausrichten. Sie können beispielsweise zeigen, wie eine robuste Cybersicherheitsstruktur Umsatzflüsse schützen, Betriebskosten senken oder Risiken mindern kann, die das Wachstum behindern könnten. Die Quantifizierung der Auswirkungen von Sicherheit auf die KPIs (z. B. wie kürzere Incident Response-Zeiten zu weniger Ausfallzeiten und finanziellen Verlusten führen) wird CISOs dabei helfen, überzeugende Argumente für weitere Investitionen zu finden.

Best Practice Nr. 2: Daten sprechen lassen

Daten sind der Eckpfeiler eines effektiven Storytellings. CISOs müssen sich die Macht der Kennzahlen zunutze machen, um ein aussagekräftiges Narrativ zu entwerfen, das den Mehrwert ihrer Sicherheitsinvestitionen in Aktion zeigt. Mit den richtigen Kennzahlen und einer klaren und übersichtlichen Präsentation können CISOs komplexe Sicherheitsinformationen so darstellen, dass der Vorstand relevante Erkenntnisse gewinnt.

„Bei Kyndryl verfolgen wir den Reifegrad (d. h. was wir im Rahmen unseres Sicherheitsprogramms tun) und die Effektivität (d. h. wie gut wir es tun)“, sagt Cory Musselman, CISO bei Kyndryl, dem weltweit größten Anbieter von IT-Infrastrukturdiensten. „Wir haben eine ‚Cyber-Balance-Scorecard‘ entwickelt, mit der wir diese KPIs jedes Quartal messen, damit wir der Unternehmensleitung und dem Vorstand zeigen können, dass wir unseren Plan einhalten.“

Wichtige Kennzahlen wie die Verringerung von Sicherheitsvorfällen, kürzere Incident Response-Zeiten und eine höhere Benutzerproduktivität können aussagekräftige Indikatoren für effektive Sicherheit sein. Dabei müssen wir jedoch über die reinen Zahlen hinausgehen und Kontext liefern. Damit der Vorstand die gesamte Bedeutung der Daten versteht, kann es hilfreich sein, leicht verständliches Anschauungsmaterial wie Diagramme, Grafiken und andere visuelle Hilfsmittel bereitzustellen. Wenn die CISOs ihre Daten nutzen, um eine Geschichte zu erzählen, können sie überzeugende Argumente für weitere Sicherheitsinvestitionen entwickeln.

„Ich verwende Netzdiagramme, um unserem Vorstand zu zeigen, welches Risiko wir eingehen würden, wenn wir keine Sicherheitskontrollen hätten. Dann zeige ich, wo wir derzeit mit unseren Kontrollen stehen und wo wir hinwollen“, erklärt Domboski. „So wird deutlich, dass unsere Identity-Plattformen genau richtig sind, um Zero Trust zu implementieren und die Sicherheit unseres Unternehmens zu gewährleisten.“

Best Practice Nr. 3: Von der Kostenstelle zum Mehrwertfaktor kommen

Um den wahren Wert von Sicherheitsinvestitionen zu demonstrieren, müssen CISOs effektiv vermitteln, wie ihre Initiativen Risiken minimieren und kostspielige Sicherheitsverletzungen verhindern. Die Berechnung des ROI von Sicherheitsinitiativen kann schwierig sein. Durch die Quantifizierung der potenziellen finanziellen und rechtlichen Auswirkungen sowie der reputionsschädigenden Folgen von Sicherheitsvorfällen können CISOs aber ein überzeugendes Argument für höhere Sicherheitsausgaben liefern.

„Wir verwenden reale Angriffe gegen unser Unternehmen als Beispiel und zeigen, wie wir sie abgewehrt haben“, erklärt Musselman. „Dadurch erhält der Vorstand mehr Kontext und kann den ROI besser verstehen. Ein möglicherweise etwas vages Konzept wird damit real und greifbar.“

Um den ROI gegenüber dem Vorstand von OneMain Financial zu belegen, vergleicht Domboski den Prozentsatz der Angriffe, die vollständig durch die implementierten technologischen Lösungen behoben werden, mit denen, die menschliches Eingreifen erfordern. Sie erklärt: „Wenn der Vorstand Trends bei den Angriffen gegen uns erkennen kann und weiß, wie viele davon allein durch Technologie abgewehrt werden können, versteht er die Rendite.“

Unterstützung des Vorstands für den langfristigen Erfolg sichern

Das Überzeugen des Vorstands vom Wert der Sicherheitsinvestitionen ist für CISOs nicht nur eine große Herausforderung, sondern auch eine große Chance. Beim Nachweis des ROI von Sicherheit geht es nicht nur um die Rechtfertigung von Ausgaben, sondern auch um die Positionierung von Sicherheit als strategischen Faktor für den Geschäftserfolg.

Wenn Sie diese Best Practices erfahrener CISOs übernehmen, können Sie Vertrauen aufbauen, Unterstützung gewinnen und die notwendigen Ressourcen sichern, mit denen Sie Ihr Unternehmen vor immer gefährlicheren Bedrohungen schützen können. Der Schlüssel liegt darin, eine überzeugende Geschichte zu erzählen, die die Prioritäten des Vorstands anspricht und belegt, wie Sicherheitsmaßnahmen die Zukunft Ihres Unternehmens schützen.

Registrieren Sie sich für unser Webinar mit Jane Domboski, CISO bei OneMain Financial, und Cory Musselman, CISO bei Kyndryl. Hier erfahren Sie mehr darüber, wie sie Identity zu einem wichtigen Bestandteil ihrer Sicherheitsorganisation machen.