Chef, wir sind in Gefahr – so handeln Entscheider
Acht Tipps, wie sie die Geschäftsleitung von einer effektiven Sicherheitsstrategie überzeugen.
IT-Sicherheit und das Risiko-Management werden in Unternehmen immer wichtiger. Viele Sicherheits-Experten kämpfen aber noch mit der Kommunikation mit dem Non-IT Management. Wie kann die Geschäftsführung von einer effektiven Sicherheitsstrategie überzeugt werden?
Gartner hat acht praktische Tipps zur effizienten Kommunikation mit dem Management zusammengestellt:
► Risikobasierte Ansätze nutzen
Risikomanagement ist der Beweis dafür, dass es keinen 100% Schutz gibt. Organisationen insbesondere die Non-IT Stakeholder müssen sich darüber im Klaren sein, welche Maßnahmen sie für eine Risikoprävention treffen. Lassen Sie sich nicht vom Risiko managen. Entscheidungen sollten im Dreiklang zusammen mit Risiko-Managern, IT-Experten und dem Management getroffen werden.
► Risiko- und Sicherheitsprogramme in Phasen einteilen
Ein formalisiertes Programm ist wiederholbar und messbar. Es enthält vier Phasen: Steuern, Planen, Entwickeln und Betreiben.
► Programm-Reife prüfen
Definieren Sie einen Maßstab, der die Reife eines Programms prüft. Damit identifizieren Sie Lücken und Chancen, die verbessert werden können. Reife ist eine gute Abstraktion für das Management, das nicht immer über das benötigte Technik-Wissen verfügt.
► Frühindikatoren über das gesamte Unternehmen ausweiten
Risiko-Manager müssen neue Frühindikatoren für die Unternehmensleistung definieren, die sowohl Key-Performance-Indikatoren (KPIs) und Key-Risk-Indikatoren (KRI) umfasst. Sie sollten sich nicht ausschließlich auf IT-Indikatoren konzentrieren. Das verstärkt die Vorstellung, dass IT-Risiken sich nur auf die IT beziehen.
► KRIs mit KPIs verknüpfen
Die meisten Organisationen haben eine Vielzahl von Operationsrisiken und Sicherheitsmetriken definiert. Während diese für interne Operationen äußerst wertvoll sind, haben sie wenig Wert für das Management. Gute KRIs sind einfach und messbar und haben einen direkten Einfluss auf mehrere KPIs.
► Management nicht mit Ängsten drohen
Das Management will nicht hören, wie schlimm alles sein wird, wenn sie nicht in das Risikomanagement und Sicherheit investieren. Ebenso nutzlos ist der Versuch, einen ROI zu nennen, da Gefahren keinen konkreten Wert zurückgeben. Zeigen sie den Wert für das Unternehmen, um die Unterstützung der Geschäftsführung zu erreichen.
► IT & Technik bei Kommunikation mit Management vermeiden
Verwenden Sie keine operativen Kennzahlen, um in der Management-Ebene zu kommunizieren. Der Geschäftsführung fehlt oft der Hintergrund und die Ausbildung, um die Bedeutung im geschäftlichen Kontext zu verstehen.
► Die wichtigsten Fakten klar kommunizieren
Was sind unsere Risiken? Was wissen wir über sie? Was ist unsere Haltung? Damit haben Sie bereits die halbe Miete in der Tasche.
Weitere Informationen finden Sie im voll
ständigen Bericht hier.
Quelle Featured Image: Pixabay.
