Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Kostenlos testen DEMO
Home > Sicherheits- und Compliance-Blog > Cybersecurity-Risikomanagement > Effektive Vorstandskommunikation für CISOs

Effektive Vorstandskommunikation für CISOs

von Alan Levine updated Juli 28, 2023 Cybersecurity-Risikomanagement
Lesezeit: 6 Minuten

Kenne dein Board

Als CISO weiß der Vorstand in der Regel, wer du bist und was du tust. Aber weißt du auch, wer sie sind? Jeder Vorstand ist einzigartig. Jedes Vorstandsmitglied bringt einen individuellen Mehrwert in Bezug auf Perspektive, Vision und Entscheidungen des Vorstands. Wenn du dein Board kennst, kannst du deine Botschaft an dein Publikum anpassen und mögliche Überraschungen vermeiden.

Beginnen Sie damit, sich zu fragen, wer die Mitglieder Ihres Vorstands sind. Was sind ihre Fähigkeiten, Stärken und speziellen Interessens- oder Anliegensgebiete? Erfahren Sie mehr über ihre Prioritäten und Ziele, denn was für jeden einzelnen wichtig ist, wird wahrscheinlich auch für den Vorstand als Ganzes wichtig sein. Und was für Ihren Vorstand wichtig ist, ist die reinste Definition dessen, was für Ihre Organisation wichtig ist.

Es gibt auch noch andere Überlegungen. Wenn Vorstandsmitglieder in anderen Organisationen sitzen, wie könnten sich diese Beziehungen zu Ihrer Organisation verbinden? Sind sie Spezialisten in einem bestimmten Bereich oder Sektor? Arbeiten sie in einer bestimmten Funktion oder Abteilung wie Finanzen, IT oder Betrieb?

Wenn sie nicht in anderen Gremien sitzen, können sie möglicherweise am Exekutivrat einer anderen Organisation teilnehmen, und das könnte tatsächlich der Hauptgrund sein, warum sie für das Board Ihrer Organisation ausgewählt wurden. Recherchieren Sie Ihre Board-Mitglieder so gut wie möglich. Je mehr Sie wissen, desto wohler werden Sie sich bei der Kommunikation mit ihnen fühlen.

Es mag nicht wichtig sein zu wissen, ob Mitglieder des Vorstands über Kenntnisse oder Erfahrungen im Bereich der Cybersicherheit verfügen. Sicherlich hat jeder in einer Führungsposition mittlerweile viel über Cybersicherheit gelernt. Organisationen sprechen mit anderen Organisationen über ihre Schmerzpunkte und vielleicht auch über ihre Cyberzwischenfälle.

Trotzdem ist es möglich, dass ein oder mehrere Ihrer Vorstandsmitglieder formale Kenntnisse im Bereich der Cybersicherheit haben. Vielleicht haben sie in technologiebezogenen Rollen oder in einer Technologieorganisation gedient. Vielleicht liegen ihre persönlichen Interessen in technischen Dingen, was Vor- und Nachteile hat. Wie das Klischee besagt, kann Wissen ein zweischneidiges Schwert sein, und ein wenig Wissen kann problematischer sein als gar kein Wissen. Seien Sie auf diese Möglichkeit vorbereitet.

Beginnen Sie damit, sich zu fragen, wer die Mitglieder Ihres Vorstands sind?

Sie sollten auch die Zusammensetzung Ihres Vorstands verstehen. Wie ist er organisiert? Ist der Vorsitzende ein unabhängiger Direktor, dessen einzige Verbindung zum Unternehmen seine Vorstandsmitgliedschaft ist, oder ist er ein Angestellter des Unternehmens, zum Beispiel der CEO?

Der Vorstand hat sich wahrscheinlich nach organisatorischen Domänen organisiert: Finanzen, Governance und Vergütung sind typische Ausschüsse der meisten Vorstände. Andere – und die wichtigsten für einen CISO – sind die Risiko- und Prüfungsausschüsse. Tatsächlich haben einige Vorstände einen Risiko- und Prüfungsausschuss speziell für die Cybersicherheit eingerichtet.

Unabhängig davon, wo die Cybersicherheit als Bestandteil der Vorstandsausschüsse der Organisation steht, ist es wahrscheinlich, dass die Aufsicht über die Cybersicherheit einer Vorstandsfunktion oder einem oder mehreren Vorstandsmitgliedern übertragen wurde. Angesichts Ihrer Rolle als CISO und der potenziellen Risiken, die von Cyberrisiken für Ihre Organisation ausgehen, ist dieses Maß an Interesse und Engagement wahrscheinlich vorteilhaft für Ihre Mission.

Verstehen Sie die Prioritäten Ihres Vorstands

Ihr Vorstand konzentriert sich auf Schlüsselelemente, die den Erfolg der Organisation lenken oder etwaige Fehler oder Schwächen angehen können. Für die meisten Vorstände sind die Schwerpunkte die Reputation der Organisation, Ethik und Integrität sowie die Einhaltung von regulatorischen Vorschriften.

Alle Boards sind per Definition strategisch. Das bedeutet, sie konzentrieren sich auf das große Ganze. Sie planen für die Zukunft der Organisation. Sie kümmern sich darum, ob die Organisation ihre Geschäftsziele umsetzt. Sie kümmern sich darum, ob die Organisation ihre Leistung misst und verstehen, wie aussagekräftige und nützliche Messungen die strategische Ausrichtung der Organisation beeinflussen können.

Boards interessieren sich auch dafür, wie gut die Leistung und Prioritäten Ihrer Organisation im Vergleich zu ähnlichen Organisationen sind. Benchmarking ist immer eine nützliche Aktivität für CISOs, und Boards greifen oft auf Benchmarking zurück, um die Pläne und Leistung einer Organisation zu messen. Dies sollte Teil der Cyber-Risikomanagement-Strategie eines CISOs sein.

Mit Zweck an den Vorstand kommunizieren

Es kann sein, dass Sie direkt mit Ihrem Vorstand kommunizieren oder auch nicht. Wenn Sie der Meinung sind, dass Sie ein Problem oder Informationen haben, die dem Vorstand vorgelegt werden sollten, bringen Sie es Ihrem Vorgesetzten und direkt oder indirekt Ihrem CEO zur Kenntnis. Ihr CEO entscheidet, was dem Vorstand präsentiert werden sollte oder nicht. Sie werden nur mit Zustimmung Ihres CEO mit dem Vorstand sprechen.

Es ist niemals eine gute Idee, versuchen, das Management-Team oder den CEO zu umgehen, um direkt mit dem gesamten Vorstand oder einzelnen Vorstandsmitgliedern zu sprechen, egal wie dringend die Angelegenheit ist. Vermeiden Sie es, einen Alarm auszulösen und zu fordern, vom Vorstand gehört zu werden.

Der Kollateralschaden für Ihre Mission – und Ihr Ansehen in der Organisation – kann irreparabel werden. Ihr Vorstand macht sich viele Sorgen, und Cyber-Sicherheitsprobleme sind nur ein Teil davon. Arbeiten Sie innerhalb des etablierten Systems und bringen Sie Bedenken innerhalb dieses Rahmens vor.

Wenn Sie gebeten werden, mit Ihrem Vorstand zu sprechen, sind sie wahrscheinlich an etwas sehr Speziellem interessiert – einem Update zu einem bestimmten Cyber-Zwischenfall oder zur relativen Widerstandsfähigkeit Ihrer Organisation in Bezug auf einen kürzlich bekannt gewordenen Cyber-Zwischenfall bei einer anderen Organisation.

Oder sie könnten an einem allgemeinen Statusupdate zu den Cyber-Sicherheitsprojekten und -programmen der Organisation interessiert sein. Sie werden nicht unbedingt daran interessiert sein, was Sie für wichtig halten, aber sie werden wahrscheinlich daran interessiert sein zu erfahren, was sie für wichtig halten sollten.

Sagen Sie ihnen alles, von dem Sie denken, dass sie es wissen müssen.

Wenn Sie sich an Ihren Vorstand oder einen Unterausschuss wenden, teilen Sie ihnen alles mit, was Sie für notwendig halten. Informieren Sie sie, unterrichten Sie sie, bereichern Sie sie und leiten Sie sie an.

Erzählen Sie ihnen von Ihren aktuellen großen Cybersicherheitsprojekten und Ihren zukünftigen Initiativen. Berichten Sie ihnen von Ihren Risikobewertungen und der aktuellen Risikohaltung.

Erzählen Sie ihnen von der Reife Ihres Cybersicherheitsprogramms und wie sich Ihr Programm in Benchmarking-Übungen schlägt.

Sagen Sie ihnen, wie Ihr Cybersicherheitsprogramm Mehrwerttreiber oder andere geschäftliche Vorteile bieten kann.

Sagen Sie ihnen dies alles, wenn es die Zeit erlaubt. Sie haben etwa 10 Minuten. Rechnen Sie mit Unterbrechungen.

Ihr Vorstand kann Fragen zu einer beliebigen Anzahl von Dingen stellen. Zum Beispiel

  • Hatten wir irgendwelche Vorfälle?
  • Halten wir uns an den Plan?
  • Was sind unsere Risiken?
  • Wie vergleichen wir uns mit unseren Kollegen?
  • Wie gehen wir mit Dritten und dem Cyber-Risiko in der Lieferkette um?
  • Wie integriert sich unser Cybersicherheitsprogramm in die IT- und OT-Initiativen der Organisation, zum Beispiel die digitale Transformation oder die operationale Exzellenz?

Überraschen Sie Ihre Führungskräfte niemals mit einem Thema oder einer Frage, von der der Vorsitzende oder Ihr CEO nichts weiß.

Beginnen Sie immer damit, den Vorsitzenden oder CEO Ihres Vorstands vorzubereiten. Stellen Sie Vorbereitungsmaterialien bereit. Jährliche Berichte wie der “Kosten eines Datenverstoßes Bericht von IBM und Ponemon Institute und Verizons Bericht über Untersuchungen von Datenverstößen sollten als Vorbereitungsmaterialien dienen.

Die Bedeutung von Cybersecurity-Governance und 5 Cybersecurity-Bücher sind für fast jeden C-Level-Manager eine gute Lektüre.

Überraschen Sie Ihre Führungsebene niemals mit einem Thema oder einer Frage, von denen der Vorsitzende oder Ihr CEO nichts weiß. Obwohl es selten vorkommt, können einige Vorstandsmitglieder Seitenkonversationen verlangen, aber diese sollten niemals stattfinden, es sei denn, der Vorsitzende oder CEO weiß von der Anfrage und hat Ihre Teilnahme im Voraus genehmigt.

Die Rolle Ihres Vorstands in der Cybersicherheit kann entscheidend sein. Vorstände und das obere Management setzen den Ton für ein hochwertiges Cybersicherheitsprogramm. Top-Down-Führung ist unerlässlich. Ja, das Verhalten der Benutzer ist entscheidend für jedes Cybersicherheitsprogramm und Sie benötigen eine Bottom-Up-Beteiligung, aber Ihre Mission wird auf den höchsten Ebenen Ihrer Organisation definiert.

Informieren Sie Ihren Vorstand darüber, was sie wissen müssen

Wenn Ihr Unternehmen ein öffentliches Unternehmen ist, wird der Vorstand möglicherweise ein großes Interesse an den Informationen haben, die die SEC von allen öffentlichen Unternehmen in ihren öffentlichen Einreichungen verlangt. Sie werden sich für wesentliche Risikofaktoren interessieren, anstatt für die Details Ihrer Schwachstellen-Verwaltungs- oder Erkennungs- und Reaktionsprogramme. Sie möchten nur über Ihre grundlegenden Hygieneerwartungen informiert werden, wenn der aktuelle Zustand Ihres Unternehmens erheblich von dem Plan abweicht und ernsthafte Risikoauswirkungen haben könnte.

Bei jeglicher Kommunikation mit Ihrem Vorstand sollten Sie stets konsistent sein, wenn es um die Darstellung und Erläuterung des langfristigen Blickwinkels, der strategischen Perspektive geht, und nicht nur um einen bestimmten Zeitpunkt – selbst wenn dieser durch ein aktuelles Ereignis dramatisch beeinflusst wird.

Zum Beispiel haben einige Organisationen während COVID ihre Sorgfaltspflicht in Bezug auf Cybersicherheit erhöht, um verstärkt auf Fernarbeit und Online-Kollaborationstools zu achten. Andere Organisationen haben einige Cybersicherheitsprogramme aufgrund von Liquiditätsbeschränkungen oder anderen Einflussfaktoren verlangsamt oder ausgesetzt. Dies sind Momentaufnahmen Ihres aktuellen Cybersicherheitsprogramms.

Welche langfristigen Auswirkungen gibt es, wenn überhaupt? Denken Sie daran: Ein Cybersicherheitsprogramm geht nicht nur um eine gute Verteidigung, sondern vielmehr um die Fähigkeit einer Organisation, cyberresistent zu sein und den schwersten Auswirkungen eines jeden Sturms standzuhalten und durchzuhalten.

Bei jeder Kommunikation mit Ihrem Vorstand sollten Sie konsequent die langfristige Perspektive und nicht nur einen bestimmten Zeitpunkt zum Ausdruck bringen und erklären.

Insgesamt muss Ihr Vorstand wissen, ob Ihre Organisation über ausreichenden Cyberschutz verfügt. Identifiziert Ihr Programm Risiken, misst es diese anhand von Wahrscheinlichkeit und Auswirkungen und trifft kluge Entscheidungen hinsichtlich Ausgaben, Aufwand und Fokus? Verfügt es über ein Programm zur kontinuierlichen Verbesserung und Weiterentwicklung? Versteht es, was es bedeutet, den regulatorischen Vorschriften zu entsprechen? Dies sind keine schwierigen Fragen, die ein CISO beantworten muss, aber es erfordert Fingerspitzengefühl und Sorgfalt, um sie auf eine Weise zu beantworten, die Ihr Vorstand versteht, schätzt und akzeptiert. Drücken Sie sich klar, prägnant und selbstbewusst aus, um Vertrauen bei der Führungsebene zu schaffen, dass Sie die richtigen Dinge auf die richtige Weise tun. Sie, Ihr Vorstand und Ihre Organisation werden davon profitieren.

Weitere Ressourcen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

See Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN
Teilen
Twittern
Teilen
Get A Demo