Wenn Sie Gelder und Unterstützung für Sicherheitsinvestitionen gewinnen möchten, müssen Sie dieselbe Sprache sprechen wie die Unternehmensführung.
Als Sicherheitsexperte sind Sie wahrscheinlich mehr um die betriebliche Seite der Sicherheit besorgt. Die Unternehmensführung sieht in der Sicherheit dagegen eine Investition wie jede andere. Sie wird prüfen, ob die Vorteile einer Investition die Risiken einer Nichtinvestition überwiegen. Ferner wird sie die langfristigen Auswirkungen auf die Unternehmensleistung bewerten und vor allem auf der Grundlage von Daten und Nachweisen eine Entscheidung treffen.
Wenn Ihr Unternehmen Opfer eines größeren Cyberangriffs wurde, kann die Unternehmensführung auf eigene Erfahrungen mit finanziellen Verlusten zurückgreifen, die mit unglücklichen Ereignissen wie diesen einhergehen. Wenn Sie jedoch zu den Glücklichen gehören, bei denen nach einer Sicherheitsverletzung kein öffentliches Aufsehen erregt wurde, müssen Sie dem Vorstand möglicherweise erklären, warum er der Sicherheit oberste Priorität einräumen sollte, bevor der schlimmste Fall eintritt.
Im Folgenden erhalten Sie einige Tipps von CISOs, um der Unternehmensführung Daten überzeugend präsentieren und sich dadurch Gelder sichern zu können:
Sprechen Sie mit dem Vorstand über die Einhaltung der neuen DSGVO-Bestimmungen.
Die Datenschutz-Grundverordnung (DSGVO) ist derzeit in aller Munde und ist wohl auch bei der Unternehmensführung Thema. Machen Sie sich das zunutze. Die potenziellen Bußgelder sind wahrscheinlich bereits bekannt, sodass Sie ohne Umschweife darlegen können, was die DSGVO für Ihr Unternehmen und Ihre Daten bedeutet. Da es im Zusammenhang mit der DSGVO viele Unklarheiten gibt, sollten Sie aufzeigen, welche Auswirkungen diese Verordnung auf Ihr Unternehmen hat und welche Investitionen zur Verbesserung von Datenschutz und Sicherheit erforderlich sind.
Erläutern Sie die für Ihr Unternehmen spezifischen Risikofaktoren.
Erläutern Sie der Unternehmensführung, welchen Sicherheitsbedrohungen speziell Ihr Unternehmen ausgesetzt ist. Halten Sie sich nicht allzu lange mit allgemeinen Trends und Statistiken auf. Verdeutlichen Sie vielmehr, welche Verbindung zwischen diesen Sicherheitstrends und den für Ihr Unternehmen und Ihre Branche spezifischen Herausforderungen besteht. Je mehr Zusammenhänge Sie aufzeigen, umso klarer wird, wie wichtig dieses Thema ist.
Sie können mit der Unternehmensführung beispielsweise über die wichtigste Einnahmequelle des Unternehmens sprechen und in diesem Zusammenhang anhand von Beispielen erläutern, inwiefern Sicherheitsbedrohungen wie Ransomware eine Bedrohung darstellen können. Wenn in Ihrem Unternehmen vertrauliche Daten wie Finanzdaten gespeichert werden, können Sie anhand von Beispielen aufzeigen, welche rechtlichen Konsequenzen und Bußgelder Ihr Unternehmen zu erwarten hat, wenn diese Daten an die Öffentlichkeit gelangen.
Erläutern Sie, wie Angriffe funktionieren, wie einfach es sein kann, Sicherheitsbestimmungen zu verletzen. Nennen Sie konkrete Beispiele für Probleme, die sich Ihnen bereits stellen, und zeigen Sie auf, welche Risiken und langfristigen Konsequenzen sich aus diesen Problemen ergeben können.
Lassen Sie Zahlen sprechen.
Vorstände lieben Zahlen und Fakten. Daher sollten Sie Ihre Prioritäten in puncto Sicherheit unbedingt an den Zielen und Fristen Ihres Unternehmens orientieren. Berücksichtigen Sie die Unternehmens- und IT-Ziele, und zeigen Sie, wie diese mithilfe von Sicherheitsbestimmungen erreicht werden können.
Erläutern Sie aber auch, wie die Ziele durch einen Sicherheitsvorfall gefährdet werden können. Fragen Sie beispielsweise, welcher potenzielle Schaden für Ihr Unternehmen entsteht, wenn kurz vor der Einführung eines neuen Produkts geistiges Eigentum an die Öffentlichkeit gelangt oder vernichtet wird.
Und dabei muss es sich nicht einmal um eine hypothetische Frage handeln. Wenn Sie die Kosten beziffern können, die Ihrem Unternehmen bereits jetzt aufgrund von Sicherheitsproblemen entstehen, ist das ein noch besseres Argument.
Wiederholung ist wichtig.
Es ist unwahrscheinlich, dass Sie alle Ihre Forderungen in nur einem Gespräch durchsetzen. Führen Sie daher regelmäßig Gespräche, und kommunizieren Sie einfache Botschaften. Etablieren Sie regelmäßige Zusammenkünfte, und berichten Sie häufig über wichtige Kennzahlen. Scheuen Sie sich nicht, sich zu wiederholen. Legen Sie die Dinge aus unterschiedlichen Blickwinkeln dar, bis Ihre Botschaft verstanden wird, und sichern Sie sich die Geldmittel und die Unterstützung, die Sie benötigen.