1. Verwendung einer technischen Sicherheitssprache 

Bei Präsentationen vor den Stakeholdern müssen CISOs auf die verwendete Sprache achten. Wenn sie zu technisch werden, verlieren sie ihr Publikum. Stakeholder sind selten Sicherheitsexperten, daher ist die Verwendung eines übermäßig technischen Jargons kontraproduktiv. Tipp: So prägnant wie möglich sein, ein angemessenes Tempo verwenden und visualisieren, anstatt viele Worte zu verlieren.

2. Konzentration auf die falschen Bedrohungsauswirkungen 

CISOs sollten deutlich machen können, dass Cyber Bedrohungen geschäftliche Auswirkungen haben können. Sie sollten also unterstreichen, wie IT-Sicherheit es dem Unternehmen ermöglicht, neue Märkte zu erschließen und das jährliche Verlustrisiko zu reduzieren. Hierbei ist es besonders hilfreich, die Key Performance Indicators (KPIs) zu kennen, um die Auswirkungen von Bedrohungen auf diese KPIs darzustellen. Im Idealfall stellt man hierzu eine Return on Security Investment (ROSI) Rechnung an – dann wird deutlich, in welchem Verhältnis die Ausgaben für Informationssicherheits-Maßnahmen und das Verlustrisiko aufgrund von Cyberattacken stehen.

3. Keine transparente Berichterstattung über Cyber-Risiken 

CISOs berichten häufig über die Cyber-Risikolage auf Grundlage ihrer Tools. Das geht aber am Ziel vorbei. Nicht alle Risiken sind gleich. Den Risikobewertungen fehlt daher der Kontext, der die Gegenmaßnahmen legitimiert. Um das Sicherheitsrisiko in einem Unternehmen messbar zu machen, haben wir von IT-Seal den Employee Security Index (ESI^®) eingeführt. Der ESI^®-Benchmark ist eine wissenschaftlich fundierte, verlässliche – zugleich standardisierte –  Kennzahl, um das Sicherheitsniveau in Unternehmen zu messen und dessen Entwicklung während des gesamten Security Awareness Trainings zu verfolgen.

4. Versäumnis, sich auf mögliche Fragen vorzubereiten 

Vorstandssitzungen sind kein guter Ort für Überraschungen. CISOs müssen vermeiden, von Fragen überrumpelt zu werden, die sie nicht beantworten können. Ihre Vorbereitung sollte daher nicht nur den Inhalt der Präsentationsfolien umfassen. Man sollte auch darüber nachdenken, welche Fragen die Stakeholder stellen könnten. Gut für Sie: Wir von IT-Seal liefern Ihnen im Rahmen unseres Fullservices die Antworten auf die entscheidenden Fragen. Als unser Kunde, erhalten Sie von Ihrem persönlichen Security Awareness Consultant Quartalsberichte, in dem die Entwicklung des Security Awareness Trainings dargestellt wird: Wie nehmen die Mitarbeiter:innen das Training an und in welchem ESI^®-Bereich stehen Sie aktuell (in den einzelnen Abteilungen, aber auch als ganzes Unternehmen). Zudem gibt es speziell aufbereitete Berichte für die Geschäftsführung.

5. Darstellung der Cybersicherheit als Kostenstelle 

Ein häufiger Fehler, den CISOs machen, wenn sie mit dem Vorstand sprechen, besteht darin, die veraltete Ansicht, dass Sicherheit eine Kostenstelle ist, nicht anzusprechen. Diese Denkweise muss sich ändern! CISOs sollten dem Vorstand dabei helfen, IT-Sicherheit als einen Geschäftsfaktor zu sehen, der Wachstum und Innovation fördert. CISOs können die Zustimmung des Vorstands gewinnen, indem sie nachweisen, dass IT-Sicherheit ein Umsatztreiber und keine kostspielige Funktion ist.

6. Nicht in Beziehungen außerhalb des Sitzungssaals zu investieren 

CISOs sollten nicht versäumen, sich mit Vorstandsmitgliedern außerhalb des formellen Vorstandskontexts auszutauschen. Probleme außerhalb der formellen Kanäle anzusprechen, hilft beim Aufbau von Beziehungen und stellt sicher, dass die Inhalte für diejenigen geeignet und nachvollziehbar sind, die erreicht werden sollen. Dieser Punkt wird bei uns besonders hochgehalten. Bereits beim Onboarding eines neuen Kunden, stellen wir eine Reihe von Kommunikationsvorlagen zur Verfügung, die CISOs helfen, andere Stakeholder ins Boot zu holen und ihre Fragen zu adressieren.

Wir von IT-Seal wissen, wie wichtig es ist, dass die gesamte Organisation beim Thema Cybersicherheit mitzieht. Denn nur so kann es eine nachhaltigen Sicherheitskultur für das gesamte Unternehmen geben. Sie wollen mehr über unseren Service wissen? Dann nehmen Sie jetzt Kontakt auf und testen Sie unsere kostenlose Phishing-Demo.