Auf der heutigen Jahrestagung des Weltwirtschaftsforums in Davos haben CEOs aus aller Welt das „Cyber Resilience Pledge“ abgelegt. Dabei handelt es sich um eine gemeinsame Aktion für mehr Cyber-Resilienz und ein einheitliches Vorgehen gegen die wachsenden Cyber-Risiken. Große weltweit tätige Unternehmen wie Shell und Petronas haben sich dem Vorhaben bereits angeschlossen. Ein Kommentar von Lucia Milică, Global Resident CISO bei Proofpoint.
Es ist erfreulich, dass das Thema Cyberresilienz von CEOs und Vorständen ernst genommen wird. Und ein einheitlicherer Ansatz für die Reaktion auf Cyberrisiken ist zweifelsohne eine positive Entwicklung. Damit diese Art von Versprechen und Initiativen erfolgreich sein können, müssen die Führungskräfte allerdings die grundlegenden Probleme angehen, die einer wirklich effektiven Reaktion im Wege stehen.
Allzu oft besteht zwischen den Vorständen und ihren Chief Information Security Officers (CISOs) eine frustrierende Diskrepanz, die zu einer ineffektiven Priorisierung von Cyberbedrohungen führt und das Geschäftsrisiko erhöht. Unsere jüngsten Untersuchungen haben gezeigt, dass nur 51 Prozent der CISOs weltweit davon überzeugt sind, dass ihr Vorstand in Sachen Cybersicherheit mit ihnen auf einer Wellenlänge liegt.
Oftmals ist dies auf die Kommunikation zurückzuführen. CISOs sollten daher direkt an den CEO und nicht an den CIO berichten, wenn die Cybersicherheit effektiv priorisiert werden soll. Andererseits müssen CISOs lernen, die Geschäftsperspektive des Vorstands besser zu verstehen, damit beide Seiten die gleiche Sprache sprechen.
Um in der heutigen Bedrohungslandschaft bestehen zu können, muss die Cybersecurity-Expertise von Unternehmen direkt in der Unternehmensleitung vertreten sein. Der Trend zeichnet sich bereits deutlich ab: In Australien müssen die Vorstände gemäß den Vorschriften der Australian Prudential Regulation Authority (APRA) die Cyberresilienz überwachen. Anfang dieses Jahres schlug die U.S. Securities and Exchange Commission (SEC) ferner eine neue Richtlinie vor, die für alle börsennotierten US-Gesellschaften die Offenlegung der Cybersecurity-Expertise des Vorstands sowie die Überwachung der Cybersicherheitsrisiken durch den Vorstand vorsieht.
Wenn es etwas Positives gibt, das wir aus einem Jahr voller aufsehenerregender Cybersicherheitsvorfälle lernen können, dann ist es die Tatsache, dass Vorstände auf der ganzen Welt auf die aktuellen Cyberrisiken aufmerksam geworden sind. Angesichts der Aussicht auf potenzielle Ausfallzeiten, gestörte Betriebsabläufe und Auswirkungen auf die Unternehmensbewertung als Folge eines Cyberangriffs werden die Vorstände hoffentlich in den nächsten zwölf Monaten dafür Sorge tragen, dass diesem neuen Bewusstsein auch Taten folgen