Warum Cybersicherheit in der C-Suite beginnt

Die durchschnittliche Anzahl versuchter Cyberangriffe pro Unternehmen stieg zwischen 2020 und 2021 um 31 %, so die neueste Studie von Accenture Bericht zum Stand der Cybersicherheit. Mit 70% von Organisationen, die Cybersicherheit als Diskussionsthema in jeder Vorstandssitzung enthalten, und 72% der CEOs geben an, dass starke Cybersicherheitsstrategien entscheidend für ihre Berichterstattung und das Vertrauen gegenüber wichtigen Stakeholdern sind, es ist klar, dass Sicherheit ein Hauptanliegen von Unternehmensleitern ist. Die Bewertung und Reaktion auf Cyber-Risiken wird nicht mehr getrennt von den Kerngeschäftszielen betrachtet, sondern ist ein wesentliches Element, um ein Unternehmen am Leben zu erhalten.

Wer ist also in einem Unternehmen dafür verantwortlich, eine starke Cybersicherheitsstrategie zu verstehen, zu entwickeln und zu initiieren? Nun, nach dem gleichen Umfrage Von 260 weltweit befragten C-Suite-Führungskräften glauben 98 %, dass die gesamte C-Suite für das Management der Cybersicherheit verantwortlich ist – die Arbeit fällt nicht einem einzelnen Experten, CRO oder CISO zu.

Laut einer globalen Forschungsstudie, die von durchgeführt wurde Trend Micro, die die Perspektiven von über 5.000 IT-Experten in 26 Ländern umfasste, gab nur die Hälfte der Befragten an, dass sie glauben, dass Führungskräfte der C-Suite Cybersicherheitsbedrohungen und Risikomanagement vollständig verstehen. Die Realität ist, dass C-Suite- und C-Suite-minus-1-Führungskräfte keine Kenntnisse über zentrale Cybersicherheitskonzepte wie Zero-Trust-Sicherheitsarchitekturen haben. Konfrontiert mit der Bewältigung massiver Vorfälle wie dem Dezember 2021 Log4j Verletzlichkeitunterstreicht diese Qualifikationslücke ein enormes Missverhältnis zwischen Fachwissen und Verantwortung auf Führungsebene.

Um ein Unternehmen und seine sensiblen internen und Kundendaten zu schützen, müssen Führungskräfte jetzt auch Experten für Cybersicherheit sein.

Die Verantwortung der C-Suite

Ein Unternehmen ist nur so stark wie seine Führungskräfte. Ob CEO, CFO, COO, CHRO oder CMO, Cybersicherheit sollte für uns alle oberste Priorität haben. C-Suite- und Senior-Level-Manager müssen in der Lage sein, potenzielle Cyber-Bedrohungen für ihr Unternehmen zu identifizieren und systemische Risiken zu verstehen, die in ihrem digitalen Ökosystem aus Lieferanten, Anbietern und Kunden vorhanden sind.

Viele Unternehmen haben jedoch Schwierigkeiten, mit den digitalen Transformationen ihrer Branche Schritt zu halten, und hinterlassen erhebliche Wissens-, Prozess- und Technologielücken bei der Art und Weise, wie sie mit Bedrohungen umgehen. Darüber hinaus hat die sich ändernde Landschaft nationaler und internationaler Compliance-Vorschriften ein Umfeld geschaffen, in dem Unternehmen ständig gezwungen sind, sich weiterzuentwickeln und zu versuchen, auf dem neuesten Stand zu bleiben und die Anforderungen an Daten- und Cybersicherheit einzuhalten.

Führungskräfte, die sich in den Grundprinzipien der modernen Cybersicherheit weiterbilden, können eine Organisationskultur der Cybersicherheit vorantreiben und ihre Tech-Stacks, Prozesse und Teams von oben nach unten stärken. CEOs und CMOs müssen keine Informationssicherheitsanalysten, Penetrationstester oder White-Hat-Hacker werden – stattdessen müssen sie fünf Kernkompetenzen demonstrieren, die sich auf ihre Arbeit und Führung auswirken:

1. Entwicklung einer gemeinsamen Sprache und Verständnis von Cybersicherheitsrisiken und Best Practices: Das Verständnis des Unterschieds zwischen VPN- und Zero-Trust-Funktionen ist der erste Schritt zur Implementierung der richtigen Sicherheitsstrategie für Ihr Unternehmen. Führungskräfte sollten sich mit der Sprache und den Kernkonzepten vertraut machen, die ihre Teams in Cybersicherheitsdiskussionen verwenden werden, um sicherzustellen, dass sie effektiv an Diskussionen teilnehmen und den Entscheidungsprozess leiten können, wenn Probleme auftreten.
2. Identifizierung potenzieller Cyberbedrohungen und systemischer Risiken, die in ihrem digitalen Ökosystem aus Lieferanten, Anbietern und Kunden vorhanden sind: Die Kartierung der Risikolandschaft – mit Hilfe von Expertenteammitgliedern – ist der erste Schritt zur Behebung von Schwachstellen. Führungskräfte sollten in der Lage sein, zu beurteilen, ob Ergänzungen, die sie an ihrem Tech-Stack vornehmen möchten, oder neue Prozesse, die sie implementieren möchten, zusätzliche Risiken in ihrem Ökosystem schaffen könnten.
3. Bewertung der Reaktion auf Cyber-Bedrohungen mit niedrigem, mittlerem und hohem Risiko: Das Entwerfen und Implementieren eines starken Incident Response Plan (IRP) stellt sicher, dass Unternehmen bereit sind, zu reagieren, wenn ein Vorfall auftritt – unabhängig von der Schwere. Führungskräfte sollten in der Lage sein zu artikulieren, wie ihre Organisationen böswillige Cyber-Ereignisse erkennen, darauf reagieren und die Folgen begrenzen.
4. Schaffung einer Kultur der Cybersicherheit im gesamten Unternehmen: Die Zustimmung der Mitarbeiter zu gewinnen, ist ein entscheidender erster Schritt zur Implementierung einer echten Kultur der Cybersicherheit in jedem Unternehmen. Um erfolgreich zu sein, müssen Führungskräfte wissen, wie sie Sensibilisierungskampagnen, Schulungspläne und Maßnahmen zur Rechenschaftspflicht entwerfen, die jeden Mitarbeiter dazu ermutigen, die Verantwortung für Sicherheitsmaßnahmen zu übernehmen und sich für Best Practices im Bereich Cybersicherheit einzusetzen.
5. Festlegung der Cybersicherheitsbudgets für ihre Organisation: Die Priorisierung von Cybersicherheitsinvestitionen erfordert ein tiefes Verständnis sowohl des Risikos als auch des potenziellen ROI. Führungskräfte sollten die Technologie- und Talentbudgets skizzieren, die erforderlich sind, um die Einführung von Cybersicherheitsinitiativen zu unterstützen und Lücken zu schließen, die sie in ihren aktuellen Risikomanagementprozessen im Unternehmen identifiziert haben.

Führungskräfte, die diese Fähigkeiten beherrschen, können selbstbewusst Gespräche über Cybersicherheit mit internen und externen Interessengruppen führen und letztendlich ihre Organisationen voranbringen, indem sie sicherstellen, dass sie die Erwartungen des Vorstands an die Rechenschaftspflicht für Cybersicherheit erfüllen.

Transformation des breiteren Ökosystems der Cybersicherheit

Keine Organisation oder Rolle ist vor Cyberangriffen sicher – von kleinen Unternehmen bis hin zu großen Technologieunternehmen und von der C-Suite bis zum Berufseinsteiger kennen Cyberkriminelle keine Grenzen. Während die C-Suite daran arbeitet, eine Organisationskultur der Cybersicherheit zu schaffen, braucht sie Unterstützung von tiefgreifenden Praktikern und tatsächlich von jedem Mitarbeiter in der Organisation, um echten Fortschritt voranzutreiben. Indem Sie Talente in jeder Rolle umwandeln, beginnend bereits im Mitarbeiterlebenszyklus mit dem Onboarding, können Sie sicherstellen, dass jeder Mitarbeiter über ein grundlegendes Maß an Cybersicherheitswissen verfügt und über einen soliden Plan zur Vermeidung von Cyberbedrohungen verfügt. Und wenn Sie die gesamte Organisation stärken, machen Sie sich auch zu einem viel weniger begehrten Ziel für Angreifer.

Angesichts der hohen Nachfrage insbesondere nach technischen Positionen sehen sich Organisationen weltweit einem harten Wettbewerb um einen begrenzten Pool an Top-Talenten ausgesetzt. Es ist eine Kluft, die jeden Tag größer wird; entsprechend Internet-Sicherheit Unternehmungen, werden bis 2025 weltweit 3,5 Millionen Stellen im Bereich Cybersicherheit unbesetzt sein, was einem Anstieg von 350 % über acht Jahre entspricht. Und nur 3% der US-Bachelor-Absolventen verfügen über Fähigkeiten im Bereich Cybersicherheit. Es gibt einfach nicht genug Praktizierende, um die Nachfrage zu befriedigen. Ich habe kürzlich mit einem CISO eines führenden Finanzdienstleistungsunternehmens gesprochen. Sie brachten zum Ausdruck, dass sich die Firma in einem umfassenden Krieg um Cybersicherheitstalente befindet. Sie können die erforderlichen Fähigkeiten einfach nicht einstellen, also müssen sie sie intern herstellen, indem sie vorhandene Mitarbeiter schulen.

Ich kann garantieren, dass diese Firma nicht die einzige ist, die sich diesem Kampf gegenübersieht. In diesem wettbewerbsintensiven Umfeld ist es wichtiger denn je, dass Unternehmen versuchen, aktuelle Mitarbeiter weiterzubilden oder mit der Absicht einzustellen, sie zu schulen, anstatt davon auszugehen, dass sie in der Lage sein werden, jede Rolle mit einem hochqualifizierten externen Kandidaten zu besetzen.

Mit genügend Leidenschaft, Intelligenz und Einsatz kann jeder Ihrer Mitarbeiter ein Cybersicherheitsexperte werden, wenn Sie ihm die für den Erfolg erforderlichen Weiterbildungen vermitteln. Durch die Verfolgung von Talenttransformationsinitiativen, bei denen praktisches Lernen im Vordergrund steht, können Ihre Mitarbeiter Fähigkeiten in gefragten Rollen wie Cybersicherheit aufbauen und letztendlich das Engagement, die Bindungsraten und die Sicherheit Ihres Unternehmens insgesamt steigern. Eine Win-Win-Win-Situation, wirklich.

Während die Stärke einer Cybersicherheitsstrategie in der C-Suite beginnt, geht eine echte Talenttransformationsstrategie über das Training hinaus, um kritisches Denken und praktische Fähigkeiten auf allen Ebenen in die Praxis umzusetzen. Indem Sie Mitarbeiter auf allen Ebenen der Organisation weiterbilden, können Sie sich darauf verlassen, dass Sie auf die nächste große Schwachstelle reagieren können.

Sebastian Thrun ist Vorsitzender und Mitbegründer von Udacity und ein deutsch-amerikanischer Unternehmer, Pädagoge und Informatiker. Davor war er Google VP und Fellow sowie Professor für Informatik an der Stanford University und der Carnegie Mellon University.