Cybersecurity muss Teil der Unternehmensstrategie werden
Cybersecurity ist zu einer grossen Herausforderung für alle Unternehmen geworden. Nicht nur, dass die dringend gesuchten technischen Cyberspezialisten nur sehr schwer gefunden werden, das Management sieht sich oft auch überfordert, die richtigen Entscheidungen für anstehende Massnahmen zu treffen. Das muss nicht sein, wenn Cybersecurity in das Führungssystem der Unternehmen integriert wird.
Man steht der unsichtbaren Gefahr der Cyberattacken schon fast machtlos gegenüber. Regelmässig hört und liest man wieder von renommierten Unternehmen, dass sie einen Ransomware-Angriff erlitten haben. Auch Datensicherungen werden mittlerweile angegriffen, sodass ein existenzbedrohender Schaden trotz guter technischer Absicherung nicht mehr verhindert werden kann. Wenn schon der CISO und die technischen Experten die Firmen nicht genügend schützen können, was soll denn das Management dagegen ausrichten können?
Cybersecurity gehört nicht bloss in die Hände von technischen Experten
Noch viel zu oft wird Cybersecurity als rein technische Aufgabe betrachtet und deshalb auch in die Hände von Spezialisten für Themen wie die Netzwerksicherheit, Bedrohungsanalyse und Incident-Response delegiert. Diese Cyber-Fähigkeiten sind unbestritten wichtig für die Unternehmen, aber sie reichen heute bei Weitem nicht mehr aus. Viel zu oft schaffen es trotz gut geführter IT-Risikoportfolios die grössten Cyberrisiken nicht auf die Agenden der obersten Führungsebene. Informationssicherheit muss zu einer Führungsaufgabe und damit auch Bestandteil einer jeden Unternehmensstrategie werden. Je nach Fokus der Strategie müssen Cyber-Optionen auf Geschäftskontinuität, Markenschutz, Compliance und Gewinnwachstum ausgerichtet werden können. Das Unternehmen muss auf oberster Führungsebene das «Warum» für Cybersicherheit gründlich analysieren und sich über seine Wahl im Klaren sein. Die gewählte Strategie wird sich auf die betrieblichen Aktivitäten auswirken, die dann die Geschäftsergebnisse vorantreiben. Unternehmen können es sich nicht (mehr) leisten, mit ihrer Cyberstrategie ziellos oder allgemein zu sein – es steht zu viel auf dem Spiel.
Cybersecurity muss Teil des Managementsystems der Unternehmen werden. Es braucht dabei Führungskräfte, die eine einflussreiche Stimme in der Geschäftsstrategie, bei Technologieentscheidungen und im Risikomanagement des Unternehmens einnehmen. Sie müssen abstrakte technische Security-Konzepte in Botschaften übersetzen, die die ganze Führungsebene emotional anspricht und zur Mitarbeit auffordert. Damit dies gelingt, müssen enge Beziehungen im gesamten Unternehmensumfeld aufgebaut werden.
ISO/IEC 27001 ist ein Baukasten eines Managementsystems für Informationssicherheit
Der international breit akzeptierte Standard ISO/IEC 27001 bildet die Grundstruktur für die Integration der Informationssicherheit in das Führungssystem der Unternehmen. Ob eine Zertifizierung angestrebt wird oder nicht, diese Grundstruktur beinhaltet das Framework zum Aufbau der notwendigen Führungsinstrumente und der Festlegung der für das Unternehmen angepassten Sicherheitsziele. Der Standard liefert Anleitungen zur Planung, zum Support, zum Betrieb, zur Überwachung und kontinuierlichen Verbesserung der notwendigen Sicherheitsmassnahmen. Dazu muss die Führungscrew nicht selbst zum Cybersecurity-Experten werden.
Die Zeiten, in denen sich die Cybersicherheit mit der Behebung einzelner Schwachstellen beschäftigte, sind definitiv vorbei. Diese Funktion muss ein wesentlicher Bestandteil des Geschäftserfolgs sein. Mit einem Managementsystem nach ISO27001, das die Informationssicherheit in die oberste Führungsverantwortung einschliesst, werden die Voraussetzungen geschaffen, Cybersecurity führbar zu gestalten. Eine Standortbestimmung des Managementsystems in Bezug auf Informationssicherheit ist ein erster Schritt für die Identifizierung des notwendigen Handlungsbedarfs. Ein erfahrener Berater und Trainer, der die Sprache des Managements spricht, hilft als Navigator und Orchestrator, die notwendige Saat im Unternehmen an den richtigen Stellen aufgehen zu lassen.
===========
Cybersecurity-Strategien gibt es nicht von der Stange
Cybersicherheit ist nicht nur Chefsache, doch die Entscheidungen über sicherheitsrelevante Massnahmen gehören auf den Prioritätenlisten der C-Levels nach oben. Wie man Security aus Business-Sicht anpacken und in die Unternehmensstrategie einbinden kann, sagt Martin Andenmatten, Gründer und Geschäftsführer von Glenfis. Interview: Marc Landis
Warum muss Cybersecurity «führbar» sein?
Martin Andenmatten: Cyberbedrohungen sind ein zunehmendes Phänomen in der heutigen digitalisierten und vernetzten Arbeitsumgebung. Die neuen Technologien, die uns die stete Verbindung mit unseren «Dingen» ermöglichen, sorgen gleichzeitig auch für die Zunahme von Cyberkriminalität. Zu lange wurde Cybersecurity als alleinige Angelegenheit von IT-Sicherheitsexperten betrachtet. Nun betreffen solche Cyberbedrohungen potenziell das ganze Unternehmen, sodass die Entscheidungen über Massnahmen und Investitionen in den Verantwortungsbereich der obersten Führungsebene angesiedelt werden muss. Schon aufgrund der zu akzeptierenden Tatsache, dass technisch nicht alle Gefahren verhindert werden können, braucht es die aktive Wahrnehmung der Verantwortung des Top-Managements, wenn es um die Beurteilung von Risiken für das Unternehmen und die Entscheidung über Investitionen geht. Das Top-Management muss sich von den beschlossenen Massnahmen überzeugen können, dass diese tatsächlich wirken. Das braucht Führung.
Wie schafft es Cybersecurity auf die Agenden der C-Levels?
Der C-Level muss die Dringlichkeit und Bedeutung der Cybersecurity zuerst erkennen, um ihre Verantwortung zu begreifen. Es muss verstanden werden, dass heute praktisch alle Informationen digitalisiert sind. Bei der Cybersecurity geht es darum, das Vertrauen in die Informationen zu schützen, mit denen ein Unternehmen arbeitet oder die es verbreitet. Das Durchsickern, den Verlust oder die Beschädigung elektronischer Informationen gilt es zu verhindern, weil die Integrität von Informationen eine Grundvoraussetzung für alle sozialen und wirtschaftlichen Aktivitäten ist. Es geht also im Grunde um den Schutz des Vertrauens in das Unternehmen. Cybersecurity muss daher im gesamten Unternehmen eingeführt werden, indem es als zentrales Thema beim Top-Management positioniert wird. Es muss weg von einem reinen IT-Thema hin zu einem Thema der Unternehmensführung werden.
Wie können C-Levels lernen, Cybersecurity-Entscheidungen zu treffen, ohne etwas von der technologischen Seite zu verstehen?
Cybersecurity ist schwer zu verstehen, weil es sehr technisch ist. Tatsächlich ist der technische Fortschritt in diesem Bereich sehr weit fortgeschritten, einschliesslich der immer schneller werdenden Fortschritte bei Angriffstechniken und Schutztechnologien. Es fällt den C-Levels daher schwer, das Thema direkt anzusprechen. Nur allzu gerne wird es an die technischen Spezialisten delegiert, weil man nicht genau weiss, was man tun soll. C-Levels müssen aber nicht die Technologie verstehen, jedoch die Auswirkungen in Bezug auf den Schutz der Informationen. Betrachtet man Cybersecurity als Schutz des Vertrauens ins Unternehmen und damit als ein Managementthema, so ändert sich die Positionierung für die C-Levels. Letztlich bestehen auch begrenzte Budgets für notwendige Investitionen, und zur Optimierung müssen Prioritäten gesetzt werden.
Wie kann ISO 27001 dabei helfen?
ISO27001 bietet die Grundlagen und definiert die Basis-Anforderungen, um das Thema Cybersecurity in das Managementsystem des Unternehmens zu integrieren. Dazu gehört auch ein Management Review als ständige Agenda zum Thema Cybersecurity. Wenn sich ein Unternehmen dazu entschliesst, sich zertifizieren zu lassen, muss es den Nachweis erbringen, dass es das ernst nimmt. Nicht nur einmal bei der Erstzertifizierung, sondern mindestens jährlich, wenn es das Zertifikat aufrechterhalten will.
Wie können Unternehmen eine Cybersecurity-Strategie entwickeln, die zum Unternehmen und zu den zu erwartenden Bedrohungen passt?
Cybersecurity-Strategien gibt es nicht von der Stange. Sie müssen so individuell ausgestaltet sein, wie die Unternehmen unterschiedlich sind. Die Fragen, was es zu schützen gilt und wie viel Risiko ein Top-Management bereit ist, einzugehen, prägen die Ausgestaltung der Cybersecurity-Strategie. Hier geht es in nicht um die Wahl der Technologie. Vielmehr braucht ein Unternehmer einen erfahrenen Coach, der folgende Fragen klärt: Warum Cybersecurity bei uns? Was gilt es zu schützen? Was kann passieren? Und wie schützen wir uns?