.png)
Das Playbook des CISO: Warum Sie das Sicherheitsrisiko zu einer Geschäftsmetrik machen müssen
Das CISO's Playbook ist eine fortlaufende Serie mit strategischen Erkenntnissen der besten Cybersicherheitsführungskräfte der Branche. In diesem Beitrag wird Bryan Liebert, Field CISO bei World Wide Technology (WWT), vorgestellt.
Die Rolle des CISO verändert sich schnell.
Die Vorstände wollen Beweise. Versicherer wollen Daten. Charisma, Bauchgefühl und Erfahrung reichen nicht mehr aus.
Es ist an der Zeit, dass CISOs ihre Weisheit und Erfahrung mit Wissenschaft und kalten, harten Fakten verbinden. Sie müssen anhand echter Daten nachweisen, wie Sicherheitsentscheidungen Risiken minimieren, den Umsatz sichern und sich an den Geschäftszielen ausrichten.
Die gute Nachricht ist, dass Sie nicht allein dabei sind. Bryan Liebert, CISO von World Wide Technology (WWT), sagt, dass es möglich ist, Daten über die Sicherheits- und Risikostufe Ihres Netzwerks zu erhalten.
Beweise es oder verliere es
Als Liebert kürzlich sein neues Haus baute, war er überrascht von Änderungen im Prozess der Hausinspektion.
"In der Vergangenheit verließen sich die Inspektoren auf ihre Erfahrung, ihr Bauchgefühl und ihr Bauwissen, um Neubauten abzuzeichnen", erklärte er.
Aber so funktioniert das nicht mehr.
"Die heutigen Inspektoren wissen vielleicht noch, dass der Bau richtig gemacht wurde", sagte er. "Aber sie wollen einen Brief von einem Ingenieur, um das zu beweisen."
Ingenieurbriefe geben den Inspektoren die Unterlagen und Daten, die sie benötigen, um ihre Entscheidung zu untermauern, dem Haus eine bestandene Note zu geben.
Diese Veränderung blieb bei Bryan hängen. Als ehemaliger CISO und aktueller CISO-Berater sieht er den gleichen Wandel in der Cybersicherheit. Bauchgefühl und jahrelange Erfahrung reichen nicht aus.
Vorstände und Versicherer fragen nicht nur nach Meinungen – sie wollen, dass die Weisheit, Erfahrung und Führung des CISO durch einen Rahmen ergänzt wird, der seine Empfehlungen untermauert. Sie wollen ihren eigenen Ingenieurbrief.
Bryan unterstützt die Kunden von WWT mit einem datengesteuerten Ansatz, der es Unternehmen ermöglicht, eine Brücke zwischen Vorstandsetage, Versicherungsanbietern und Geschäftszielen zu schlagen.
Er arbeitet mit Partnern wie Illumio zusammen, um CISOs dabei zu helfen, sich von Cyber-Geschichtenerzählern zu Entscheidungswissenschaftlern zu entwickeln.
Aufbau eines besseren, FAIR-er Gehäuses
Aus Bryans Sicht geht es bei der Aufgabe des CISO sowohl um die Fähigkeit des CISO, Entscheidungsträger zu beeinflussen, als auch um den Schutz.
"Sie verbringen zu viel Zeit mit der Brandbekämpfung und versuchen, Entscheidungsträger davon zu überzeugen, in ihre Strategien zu investieren", sagte er. "Ohne vertretbare Modelle, die ihr Unternehmensrisiko messen, müssen sie sich oft auf ihr Charisma verlassen, um die Unterstützung des Vorstands für Sicherheitsausgaben zu gewinnen."
Bryan glaubt, dass dieser Ansatz nicht mehr tragbar ist.
Deshalb setzt er sich so leidenschaftlich für einen anderen Weg ein: die Faktoranalyse des Informationsrisikos (FAIR). Dabei handelt es sich um ein quantitatives Risikomanagement-Framework, das vom FAIR Institute entwickelt wurde und Informationsrisiken in messbare und wiederholbare Begriffe übersetzt.
"Es bietet Ihnen eine wissenschaftliche Möglichkeit, die traditionelle Wahrscheinlichkeit und Auswirkungen von Risiken zu berechnen", erklärte Bryan. "Tatsächlich nutzen Cyber-Versicherer es jetzt, um die Deckung zu bewerten."
Das Ziel von FAIR ist es, CISOs in die Lage zu versetzen, mit Zuversicht eine Vorstandsetage zu betreten und eine Strategie zu entwerfen, die auf diesem Modell basiert.
Von "Vertrau mir einfach" zu "Hier ist die Mathematik"
Bryan ist der Meinung, dass der moderne CISO eine Entscheidungsmaschine braucht – eine Möglichkeit, technische Sicherheitsziele in Geschäftsziele zu übersetzen, die die Vorstände verstehen.
Das bedeutet, Cybersicherheit in etwas zu verwandeln, das gemessen, priorisiert und optimiert werden kann, genau wie jeder andere Teil des Unternehmens.
"Die Vorstände kümmern sich nicht um die technischen Dinge", sagte Bryan. "Sie kümmern sich um das Risiko für das Unternehmen. Wenn Sie ihnen eine Was-wäre-wenn-Analyse zeigen können, die besagt: 'Wenn dieses System kompromittiert wird, sind hier die finanziellen Auswirkungen', sprechen Sie ihre Sprache."
Es geht nicht nur um die anfängliche Unterstützung. Bryan möchte, dass CISOs mit messbaren Statistiken zurückkehren, die zeigen, wie ihre Sicherheitsinvestitionen die Risiken im Zusammenhang mit profitablen Geschäftszielen erheblich reduziert haben.
"Dies ist der Moment des Ingenieurbriefs", sagte Bryan. "Man sagt nicht nur, dass man das Risiko reduziert hat. Du zeigst ihnen die Mathematik."
Die Vorstände kümmern sich nicht um die technischen Dinge. Sie kümmern sich um das Risiko für das Unternehmen. Wenn Sie ihnen eine "Was-wäre-wenn"-Analyse zeigen können, die besagt: "Wenn dieses System kompromittiert wird, sind hier die finanziellen Auswirkungen", sprechen Sie ihre Sprache.
Wie Cyber-Versicherungen das Spiel verändern
Auch die Cyber-Versicherung spielt bei diesem neuen Wandel eine Rolle. In der Vergangenheit war es vielleicht nur ein Kontrollkästchen, aber jetzt verändert es die Art und Weise, wie CISOs ihren Wert nachweisen.
"Als Cyber-Versicherungen zum ersten Mal auftauchten, hatte niemand ein offenes Modell zur Quantifizierung von Risiken", sagte Bryan. "Jetzt verlangen sie echte Beweise. Und wenn man ihnen eine vertretbare Formel geben kann, kann man Rabatte bekommen – echtes Geld auf dem Tisch."
Diese Art von Anreiz ist genau das, was CISOs brauchen, um ihre Programme voranzutreiben.
"Sie fragen nicht mehr nur nach Budget", sagte Bryan. "Sie zeigen, dass Ihre Sicherheitslage nachweislich in der Lage ist, die Geschäftsziele des Unternehmens zu schützen. Das ist die Art von ROI, die Vorständen wichtig ist."
Der CISO als Übersetzer, nicht nur als Technikfreak
Eine der größten Herausforderungen, die Bryan heute sieht, besteht darin, dass die meisten Cyber-Programme immer noch am Unternehmen vorbeireden, anstatt sich daran zu orientieren.
Das ist ein Problem, insbesondere in Bereichen wie der Hochschulbildung oder dem Gesundheitswesen, in denen das primäre Ziel des Vorstands nicht die Cybersicherheit ist, sondern die Forschung, der Erfolg der Studierenden oder die Patientenversorgung.
Cybersicherheit ist ein notwendiger Teil der unternehmerischen Verantwortung, aber irrelevant für Universitäten ohne Studenten oder Krankenhäuser ohne Patienten.
"Ihre Aufgabe ist es, die Rolle zu demonstrieren, die Cybersicherheit beim Schutz und der Aufrechterhaltung der Betriebszeit von Systemen spielt, die zum Erfolg der Studenten und zufriedenen Patienten beitragen", erklärte Bryan. "Sie möchten, dass sie wiederkommen und Ihre Dienste empfehlen, weil sie das Gefühl hatten, dass ihre Privatsphäre geschützt ist und sie sicher sind und gute Erfahrungen mit allen Systemen gemacht haben, auf die sie gestoßen sind."
Hier kommen Anbieter wie Illumio – und Partner wie WWT – ins Spiel.
Wie Illumio und WWT dazu beitragen, Risiken real zu machen
Für Bryan hängt die Macht von Partnerschaften von einer Sache ab: von Beweisen.
"Wir bringen Unternehmen zum Advanced Technology Center (ATC) von WWT und zeigen ihnen Seite an Seite: Hier ist, was die Technologie tut, und hier ist, wie die Formel das Risiko reduziert", sagte Bryan. "Unser KI-Testgelände ermöglicht es ihnen, es in Aktion zu sehen, mit den neuesten KI-Fortschritten, die jetzt in praktisch alle Cybersicherheitsprodukte und -strategien integriert werden."
Bryan merkte auch an, dass Cybersicherheitsanbieter wie Illumio die Sicherheitsmathematik ernst nehmen. Mit Tools wie Illumio Insights helfen sie Sicherheitsteams, Risiken auf der Grundlage von Daten zu erkennen, zu verstehen und zu priorisieren – und nicht auf der Grundlage von Vermutungen.
Mit Partnern wie WWT und Illumio verfügen CISOs über die Tools und Ressourcen, die sie benötigen, um den Wert zu demonstrieren, Risiken zu priorisieren und jede Entscheidung mit Daten zu unterstützen.
Möchten Sie sehen, welche Daten Illumio Insights in Ihrem Netzwerk aufdecken kann? Starten Sie Ihre KOSTENLOSE TESTVERSION Heute.
.webp)
