Wie CISOs die IT-Security-Budgetierung angehen sollten

Ein Chief-Information-Security-Officer (CISO) ist für den Schutz des Unternehmens, seiner Mitarbeiter und seiner Daten verantwortlich. Eine seiner Hauptaufgaben betrifft die Budgetüberwachung, um die Unternehmensprioritäten erfüllen zu können. Laut Gartner wird bis 2023 der Erfolg eines CISOs zu 30 Prozent direkt an seiner Fähigkeit gemessen, Unternehmenswert zu schaffen. Das bedeutet, dass jedes Cybersicherheitsprogramm auf die vorhandene Unternehmensplanung abgestimmt sein sollte, bestehende Einnahmequellen schützen und über Kontrollen für neu geschaffene Einnahmequellen durch neue Produkte, Übernahmen oder neue Standorte verfügen sollte.

 

Beziehungen zu anderen Abteilungen ausbauen

Wann immer möglich, sollte ein CISO aufzeigen, wie seine Budgetentscheidungen direkt mit der Umsatzgenerierung oder anderen Geschäftszielen wie der betrieblichen Effizienz zusammenhängt. Das etabliert ihn als Geschäftspartner, und die Cybersecurity wird als Business-Enabler, statt lediglich als Kostenpunkt angesehen.

Außerdem sollte ein CISO darauf achten, wie er seinen Geschäftssinn und sein technologisches Fachwissen unter Beweis stellen kann. Cybersecurity-Risiken sollte er grundsätzlich anhand der Auswirkungen auf das Geschäft erklären. Dabei verwendet er am besten Geschäftsterminologie und Risikoprofile, um Wege zur Ermöglichung neuer Initiativen zu finden und gleichzeitig diese potenziellen Risiken im Lauf der Zeit zu minimieren.

Zur Verfolgung dieses risikobasierten Ansatzes müssen starke Beziehungen zu verschiedenen Geschäftsfunktionen innerhalb einer Organisation aufgebaut werden. Die Basis bilden gemeinsame Anliegen, zu denen der CISO dann berät, wie Cybersicherheit helfen kann. Indem er mit geschäftlichen Belangen beginnt, kann er seine Budgetausgaben mit Ergebnissen verknüpfen.

 

Wissen, was man wirklich hat

Ein typischer Ansatz für die Zuweisung von Budget beginnt mit den wichtigsten Prioritäten des Unternehmens. Dafür müssen die Prioritäten jedoch genau gesetzt sein. Der Budgetzyklus sollte mit einer Bewertung der Assets und Risiken des Unternehmens beginnen. Zudem sollte er einen genauen Überblick über die IT-Assets und -Ressourcen beinhalten. Wenn die wichtigsten Assets für das Unternehmen bekannt sind, kann ein angemessener Schutz dieser sichergestellt werden. Das Wissen über alle vorhandenen Assets ist jedoch auch essenziell. Denn was man nicht sehen kann, kann man auch nicht schützen.

Die Bewertungsergebnisse sind für die Budgetplanung und -empfehlungen des CISOs von großer Bedeutung. So haben Unternehmen üblicherweise oft keine genaue Bestandsaufnahme ihrer IT-Ressourcen oder ihnen fehlen wichtige Schutzmaßnahmen. Darunter fallen beispielsweise Anti-Phishing-Schulungen, Vertragsklauseln zur Cybersecurity mit Geschäftspartnern, Cyber-Versicherungsschutz und ein Rahmen für das Krisenmanagement.

Ein effektives Budget muss auch Zuweisungen für Sicherheitsschulungen und die Entwicklung der Sicherheitskultur enthalten, damit jeder Mitarbeiter sie zu schätzen weiß. Sicherheitskultur bedeutet, alle Mitarbeiter dazu zu bringen, Teil der Sicherheits- und Risikoposition des Unternehmens zu sein und sich für sicheres Verhalten zu engagieren. Diese Investitionen sollten auch Mitarbeiter mit Vorbildfunktion bei der Einhaltung von Vorschriften und der Meldung von Vorfällen anerkennen.

 

Fähigkeiten und Automatisierung zusammen statt getrennt betrachten

Eine der besten Investitionen des CISOs ist eine in qualifizierte Mitarbeiter. Angesichts des „Skills Gap“ auf dem Markt ist es sehr schwierig, versierte Sicherheitsexperten zu gewinnen und zu halten. Daher sollte der CISO so viel wie möglich in die Entwicklung bestehender Mitarbeiter investieren und eine Kultur pflegen, die sie an das Unternehmen bindet.

CISOs sollten überlegen, wie Prozesse automatisiert werden können, um so das Personal effizienter zu machen. Sicherheitsteams arbeiten oft in stressigen Umgebungen. Wenn den Mitarbeitern also zu mehr Effizienz verholfen wird, dann wird ihr Arbeitsalltag leichter und die Sicherheit besser. Bei der Analyse potenzieller Investitionen müssen also nicht nur deren Kosten, sondern auch die möglichen Einsparungen berücksichtigt werden.

Die Beseitigung manueller Prozessschritte durch Automatisierung ist auch mit der Sicherheitskultur verbunden. Der Aufbau eines leistungsstarken internen Sicherheitsteams erfordert zwar Investitionen, aber es ist besser, Mitarbeiter zu entwickeln, die das Unternehmen und sein Geschäft bereits kennen.

 

Die Budgets anders festlegen

Unter den derzeitigen Herausforderungen werden die Budgets für Cybersicherheit bestenfalls konstant bleiben. Die Konsolidierung der Lieferanten eines Unternehmens kann dazu beitragen, mit weniger mehr zu erreichen, insbesondere durch die Reduzierung der Verbreitung von einzelnen Lösungen für Probleme. Mit der Zeit bringen Anbieter mehr komplementäre Angebote auf den Markt, was CISOs helfen kann, einige ihrer Sicherheits-Lieferanten zu rationalisieren und somit Kosten einzusparen.

CISOs können zum Beispiel zu einer kürzeren vierteljährlichen Budgetüberprüfung übergehen, statt zu jährlichen Überprüfungen. So können sie ihre Bemühungen und Ressourcen genauer auf die Bereiche konzentrieren, in denen sie benötigt werden. Wenn ein Anbieter nicht genug Wert liefert, dann kann so schneller eine Entscheidung getroffen werden.

Von einem Investitionsstandpunkt aus gesehen, erwarten Führungskräfte und Vorstände ein „Preis-Leistungs-Verhältnis“. Das Unternehmen sollte immer auf die richtige Höhe der Sicherheitsinvestitionen im Verhältnis zum Risiko für die Auswirkungen auf das Geschäft abgestimmt werden, basierend auf der Risikobereitschaft des Unternehmens.

 

Die Fakten auf den Tisch legen

Giuseppe Brizio, Chief Information Security Officer EMEA bei Qualys

Alle Budgets müssen mit der Zeit überprüft werden, und alle Cybersicherheitsteams sollten dem Führungsteam über ihre Ergebnisse berichten. Dafür ist zu überlegen, welche aussagekräftigen Metriken sowohl den Beitrag des CISOs zur Wertschöpfung des Unternehmens als auch die verwalteten Sicherheitsrisiken belegen. Dies sollte eine angemessene Überwachung der Cybersecurity-Aktivitäten des CISOs für eine kontinuierliche Verbesserung sicherstellen, aber auch, dass er in Zukunft Unterstützung erhält.

Zusammenfassend lässt sich sagen, dass CISOs eine gründliche Bewertung der aktuellen Sicherheitslage durchführen und beurteilen müssen, wie die Sicherheit zu den Unternehmenszielen und -prioritäten beitragen kann. Dies gibt ihnen den Weg für die Priorisierung und Verwaltung ihres Budgets vor.

Von Giuseppe Brizio, Chief Information Security Officer EMEA bei Qualys 

#Qualys