Golden Dayz – Shutterstock.com
In den vergangenen Jahren haben sich CISOs häufig nicht von ihrem Vorstand ernst genommen gefühlt. Inzwischen lässt sich jedoch eine kleine Trendwende erkennen: 82 Prozent der CISOs sind jetzt direkt ihren CEOs unterstellt. Im Jahr 2023 waren es erst 47 Prozent. An den Vorstandssitzungen nehmen mittlerweile 83 Prozent der CISOs relativ oft oder meistens teil. Zu diesem Ergebnis kommt eine weltweite Befragung von Splunk mit 600 Teilnehmern – darunter 500 CISOs, CSOs und vergleichbare Security-Verantwortliche sowie 100 Vorstandsmitglieder.
Zwar räumen 60 Prozent der Befragten ein, dass das Wort von Vorstandsmitgliedern mit Cybersecurity-Hintergrund bei Sicherheitsentscheidungen mehr Gewicht hat. Allerdings haben nur 29 Prozent der CISOs jemanden mit Cybersecurity-Fachwissen im Vorstand.
Vorteile guter Abstimmung zwischen CISO und Vorstand
Die Studienergebnisse bestätigen: Vorstandsmitglieder mit CISO-Hintergrund unterhalten engere Beziehungen zu den Security-Teams, setzen mehr Vertrauen in die Sicherheitsmaßnahmen des Unternehmens und äußern weitaus seltener (37 Prozent) als der Durchschnitt (62 Prozent) Bedenken, dass nicht genug für den Schutz des Unternehmens getan wird.
Zudem zeigt sich, dass CISOs mit einem guten Verhältnis zum Vorstand auch von einer besseren Zusammenarbeit im gesamten Unternehmen berichten. Sie haben deutlich öfter (82 Prozent) als die übrigen CISOs (69 Prozent) starke Partnerschaften mit den IT-Operations- und mit den Engineering-Teams (74 Prozent statt 63 Prozent).
CISOs mit guten Beziehungen zum Vorstand bekommen auch eher die Chance, Use Cases generativer KI weiter zu verfolgen, etwa die Erstellung von Regeln zur Bedrohungserkennung (43 Prozent statt 31Prozent), die Analyse von Datenquellen (45 Prozent statt 28 Prozent), Incident Response und forensische Untersuchungen (42 Prozent statt 29 Prozent) oder proaktives Threat Hunting (46 Prozent statt 28 Prozent).
Trotz Annäherung noch einige Unstimmigkeiten
Auch wenn sich CISOs und Vorstände in Sachen Sicherheitsprioritäten annähern, bleiben trotzdem weiterhin Lücken. Die größten Diskrepanzen bei den Top-Prioritäten von CISOs und Vorständen sind:
Innovation mit aufkommenden neuen Technologien (eine Priorität für 52 Prozent der CISOs, aber nur für 33 Prozent der Vorstände)
Upskilling beziehungsweise Reskilling von Sicherheitspersonal (eine Priorität für 51 Prozent der CISOs, aber nur für 27 Prozent der Vorstände)
Beiträge zu Umsatzwachstumsvorhaben (eine Priorität für 36 Prozent der CISOs, aber nur für 24 Prozent der Vorstände)
Zwar sind sich Vorstände und CISOs über die Bedeutung der zentralen Cybersecurity-KPIs einig. Allerdings geben 79 Prozent der befragten CISOs an, dass sich die KPIs ihrer Sicherheitsteams in den vergangenen Jahren erheblich verändert haben. Erreichte Security-Meilensteine sind für 46 Prozent der CISOs eine relevante Messgröße des Erfolgs, aber nur 19 Prozent der befragten Vorstände teilen diese Ansicht.
Obwohl eine stabile Compliance für das Unternehmen von entscheidender Bedeutung ist, wird die Compliance-Lage nur von 15 Prozent der CISOs als eine der wichtigsten Leistungsmetriken genannt – der Abstand zu den Vorständen (45 Prozent) ist mehr als deutlich. 21 Prozent der CISOs behaupten, sie seien bereits gedrängt worden, ein Compliance-Problem nicht zu melden. Vor diesem Hintergrund geben jedoch 59 Prozent zu, dass sie als Whistleblower aktiv werden würden, falls ihr Unternehmen Compliance-Anforderungen ignorieren würde.
Streitigkeiten bei Security-Budget
Auch bei den Cyberbudgets spiegeln sich inkonsistente Unterstützung und Unstimmigkeiten wider:
Nur 29 Prozent der CISOs verfügen nach eigenen Aussagen über ein angemessenes Budget, mit dem sie ihre Cybersecurity-Vorhaben umsetzen und ihre Sicherheitsziele erreichen können.
Dagegen sind 41 Prozent der Vorstände der Meinung, dass die Cybersicherheitsbudgets angemessen sind.
Unterdessen machen sich 64 Prozent der CISOs Sorgen, dass sie angesichts der aktuellen Bedrohungslage und im gegenwärtigen Regulierungsumfeld nicht genug tun können.
18 Prozent sagen, dass sie in den vergangenen zwölf Monaten aufgrund von Budgetkürzungen ein Business-Vorhaben nicht unterstützen konnten, was bei 64 Prozent einen erfolgreichen Angriff zur Folge hatte.
Als weitere zentrale Sparmaßnahmen nennen die CISOs weniger Security-Lösungen und -Tools (50 Prozent), Security-Einstellungsstopps (40 Prozent) sowie reduzierte beziehungsweise ganz ausgesetzte Security-Schulungen (36 Prozent). Nahezu alle CISOs (94 Prozent) wurden bereits Opfer eines disruptiven Cyberangriffs. Die Mehrheit (55 Prozent) sagt, dass sie mindestens ein paar Mal betroffen war, weitere 27 Prozent geben an, dass sie viele Male im Fadenkreuz standen.
Lesetipp: Payback-CISO im Interview: „Vorbereitung ist das A und O“
No Responses