So holen CISOs mehr aus ihren Security-Budgets heraus
CISOs und CIOs stehen immer mehr unter dem Druck, die Kosten unter Kontrolle zu halten und gleichzeitig die richtigen Begründungen zu finden, um vor dem Hintergrund steigender Cyberangriffe Ihr Budget zu rechtfertigen. Angst, Ungewissheit und Zweifel reichen dabei als Argumente bei Vorständen und Führungskräften längst nicht mehr aus. Vielmehr ist es ratsam, potenzielle Angriffe auf das Unternehmen mit möglichen Verlusten zu beziffern und damit das Risikopotential objektiv zu quantifizieren.
Der Aufwand, der für die Erhebung dieser Daten erforderlich ist und das Fachwissen für die Modellierung und Berechnung einer Risikospanne (wie etwa des Factor Analysis of Information Risk-Modells – FAIR) ist für viele CISOs aus reinen Zeitgründen meist nicht durchführbar. Einfacher und gleichweg effektiver sind Ansätze, die in einen Mix aus quantitativen und qualitativen Bewertungen die langfristigen Unternehmensziele den Sicherheitsinvestitionen gegenüberstellen. Wir zeigen Ihnen Beispiele wie Sie in einfachen Schritten zu den passenden Security-Kennzahlen kommen.
Cybersecurity-Risiken sollten grundsätzlich anhand der Auswirkungen auf das Geschäft erklärt werden
- Die Geschäftsziele: Argumentieren Sie immer aus der Perspektive des Gesamtbildes Ihres Unternehmens. Es geht darum, das Umfeld sicher zu halten, damit Wachstum möglich ist.
- Der Kontext: Anstatt zu überlegen, wie sich ein Angriff auf Ihre Abteilung auswirkt, sollten Sie aufzeigen, wie sich diese Szenarien auf die Betriebsergebnisse, den operativen Betrieb, die Kundenbeziehungen auswirken würden.
- Die möglichen Folgen: Berücksichtigen Sie dabei nicht nur die finanziellen Folgen von Produktions-, Logistik- oder Kommunikationseinschränkungen, sondern auch Konsequenzen durch rechtliche Verpflichtungen, mögliche Strafen oder Schadensersatzforderungen von Kunden.
- Erfahrungswerte: Zeigen Sie Beispiele aus Ihren eigenen Systemen, um zu veranschaulichen, wie es um die Sicherheitslage im Unternehmen bestellt ist. Zeigen Sie z. B. einen Bericht über die Anzahl der Angriffsversuche auf Ihre Website in diesem Monat und wie sie im letzten Jahr gestiegen ist.
- Wo besteht akuter Handlungsbedarf: Setzen Sie Prioritäten und konzentrieren Sie sich zunächst auf die dringendsten Probleme. Wenn Sie diese definiert haben, überlegen Sie sich, welche unmittelbaren Maßnahmen das Risiko am stärksten reduzieren und was dafür notwendig ist.
- Nicht alles auf einmal: Wählen Sie bei allen Möglichkeiten, die Sie vom Hundertsten ins Tausendsten bringen einen pragmatischen Ansatz. Wählen Sie einen wichtigen Anwendungsfall aus und arbeiten Sie zuerst an diesem. Suchen Sie auch nach Möglichkeiten, mit der Sie Arbeitsabläufe automatisieren und Risiken schneller messen können.
- Laufende Updates: Überprüfen Sie die Risikoergebnisse regelmäßig: Cyberrisiken und -bedrohungen entwickeln sich ständig weiter. Ein Risiko, das vor einem Jahr noch kritisch war, ist es heute vielleicht nicht mehr.
Kernargumente: Wie kann die Sicherheit zu den Unternehmenszielen und -prioritäten beitragen
Bewusstseinsbildung für die Vorstandsetage
Die Darstellung des Cyberrisikos in finanzieller Hinsicht und die Möglichkeit zu zeigen, wie die verschiedenen Sicherheitsinitiativen das Risiko quantitativ verringern können, ermöglicht es Ihnen, die Sprache des Vorstands und des Unternehmens zu sprechen und die Budgetentscheidungen zu erleichtern. Wenn Sie aufzeigen, wie Ihr gewünschtes Budget den Abteilungen Vertrieb, Marketing, Geschäftsentwicklung oder Kundendienst die Erreichung ihrer jeweiligen Jahresziele unterstützt, erhalten Sie wahrscheinlich ein besseres Feedback von der Geschäftsleitung. Quantifizierung ist dabei kein Allheilmittel. Vorstände und Führungskräfte können dadurch aber schnell die kritischsten und kostspieligsten Cyber-Bedrohungen für ihr Unternehmen erkennen. Sie schaffen ein breiteres Risikobewusstsein und -verständnis, das Sie über die Technologiefunktion hinaus in die Vorstandsetage bringen.
Bessere Planung
Auch für Ihre Abteilung können Sie dadurch besser planen, auf welche Risiken Sie sich im schlimmsten Falle zuerst konzentrieren sollten und wo Sie Ihre Cybersicherheitsressourcen einsetzen. Es ist somit weniger wahrscheinlich, dass Sie auf potenzielle Risikoereignisse über- oder unterreagieren. Sie müssen damit nicht mehr raten, welche IT- und Cyber-Risiken Sie aufgrund Ihrer Intuition oder Ihres Urteilsvermögens priorisieren sollten.
Wenn Sie Schwierigkeiten haben, Prioritäten zu setzen und zu bestimmen, welche Initiativen Teil Ihres Sicherheitsbudgets sein sollen, oder wenn Sie Ausgaben außerhalb der Planung rechtfertigen müssen, zeigen wir Ihnen gerne auf, was wir unseren Kunden für ihre Kosten-Nutzen-Analyse und Budgetplanung als praktikabelsten Weg empfohlen haben, ohne dass sie zu viel Zeit in aufwändige Risk-Analyse Projekte investieren mussten.
Sie möchten mehr erfahren? Kontaktieren Sie uns!
