Achtung CEOs: Keine Nachricht kann eine gute Nachricht sein, wenn eine Sicherheitsverletzung untersucht wird

Cyber Security News

David Estlick, Chief Information Security Officer von Chipotle Mexican Grill, spricht mit James Christiansen, Vice President und CSO of Cloud Security Transformation bei Netskope, über den Umgang mit den Erwartungen von Unternehmen. (Foto: Steve Dykes/Getty Images)

Ein potenzieller Datenschutzverstoß in einem Unternehmen führt in der Regel dazu, dass die oberste Führungsebene Antworten verlangt, oft bevor die Sicherheitsteams welche liefern können. Sicherheitsexperten sollten proaktiv Erwartungen setzen: Die meisten der anfänglichen Details werden wahrscheinlich schlecht, aber auch unvollkommen sein, und ein Mangel an Informationen kann manchmal ein gutes Zeichen sein.

So lautete die Empfehlung von zwei Diskussionsteilnehmern, die am Montag auf der RSA Conference 2021 sprachen – David Estlick, Chief Information Security Officer von Chipotle Mexican Grill und James Christiansen, Vice President und CSO of Cloud Security Transformation bei Netskope.

Klicken Sie hier für weitere Berichte über die RSA Conference 2021.

“In den ersten Stunden werden Sie 100 Anrufe von jeder Person erhalten, die einen Buchstaben vor ihrem VP hat – also Ihre Executive VPs oder Senior VPs, Ihr Management, Ihr Führungsteam”, sagte Christiansen, der zuvor Führungspositionen im Bereich Sicherheit bei Experian, General Motors und Visa innehatte. “Ich hatte sogar schon Anrufe vom Vorstandsvorsitzenden, der ein Briefing wollte. Das ist ein schwer zu bewältigendes Problem, denn das sind Ihre Führungskräfte… Sie werden mit dem CEO und Ihrem Management-Team sprechen, und es wird ein Fluss von schlechten Nachrichten sein.”

CISOs und Sicherheitsverantwortliche müssen daher diese Erwartungen kommunizieren, so Christiansen weiter.

“Sie werden unvollkommene Informationen haben, wenn Sie in diese Briefings gehen”, sagte Christiansen. “Aber Sie sind der Anführer, Sie sind derjenige, auf den sie sich verlassen. Sie müssen Vertrauen haben, wo Sie sind – und auch wenn Sie keine perfekten Daten haben, können Sie ihnen sagen, was Sie wissen und was Sie tun; Sie müssen dieses Vertrauen haben, dass Sie es unter Kontrolle haben.”

Und während Führungskräfte vielleicht Antworten verlangen, ist ein Mangel an Nachrichten manchmal tatsächlich eine positive Entwicklung und sollte nicht als Mangel an Bemühungen interpretiert werden, bemerkte Estlick bei Chipotle.

“Ich habe das Szenario erlebt, dass wir in den ersten 48 Stunden nach einem Vorfall nicht viele Nachrichten hatten”, erinnerte sich Estlick. In diesem Fall warnte ein externer Bericht, dass das Unternehmen möglicherweise ein Sicherheitsproblem erlitten hatte.

“Wir trafen uns alle paar Stunden mit dem Führungsteam, und als ich in den zweiten Tag kam, waren sie frustriert, weil ich keine Neuigkeiten hatte. Und ich sagte: ‘Nun, eigentlich sind keine Neuigkeiten zu diesem Zeitpunkt gute Neuigkeiten, denn wenn ich jetzt mit Neuigkeiten in diesen Raum komme, werden es nur schlechte sein.'”

Glücklicherweise gab es, wie sich herausstellte, doch keinen Zwischenfall – was im Nachhinein erklärte, warum es so wenig zu berichten gab.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com