CISO-Talk: ein Interview mit Markus Kaufmann

Markus' Werdegang spiegelt eine facettenreiche berufliche Entwicklung mit einer starken Grundlage in praktischer IT-Arbeit und dem Aufbau eines Informationssicherheits- und Compliance-Programms wider, in dem sein geballtes Wissen einen umfassenden Ansatz für ein datengesteuertes Cyberrisikomanagement bietet.

C-Risiko: Können Sie uns etwas über Ihre Reise zur Quantifizierung von Cyberrisiken erzählen und darüber, wie Sie zum ersten Mal auf die FAIR-Methode gestoßen sind?

Markus Kaufmann: Als ich als CISO zu Funko kam, wurde ich mit dem vertraut gemacht FAIR-Methodik um quantitative Risikobewertungen durch Tom Callaghan durchzuführen, der zu dieser Zeit als VCISO tätig war.

‍

Da wir in erster Linie qualitative Risikobewertungsmethoden verwendeten, die ich bei Wells Fargo mitentwickelt hatte, war es unglaublich erfrischend zu sehen, wie Risiken und Daten auf diese Weise quantifiziert wurden.

‍

Und im Laufe der Jahre wurde es frustrierend, weil man mit qualitativen Bewertungen nur so viel anfangen kann, und zu sehen, was C-Risk für Funko getan hat, war wie ein frischer Wind. Es erlaubte mir, das zu sprechen Sprache des Geschäfts. Anstatt sich auf das alte Ampelmodell mit roten, gelben, grünen, hohen, mittleren und niedrigen Risiken zu verlassen — bei dem fast alles ausnahmslos als mittleres Risiko endete — FAIR lieferte echte, quantifizierbare Daten.

‍

Das hat mich nicht nur dazu befähigt, bessere Diskussionen mit dem Vorstand hat mir aber auch geholfen, die spezifischen Sicherheitsherausforderungen von Funko schnell zu verstehen, als ich beauftragt wurde, ihr Informationssicherheitsprogramm von Grund auf neu zu entwickeln.

Wie sind Sie an die Entwicklung des Informationssicherheitsprogramms von Funko von Grund auf herangegangen? Was waren einige der wichtigsten Schritte, die Sie unternommen haben?

Markus: Als ich zu Funko kam, bestand meine erste Aufgabe darin, herauszufinden, welche Sicherheitsmaßnahmen dort getroffen wurden, und die kritischsten Lücken zu identifizieren. Die FAIR-Bewertungen, die wir zuvor durchgeführt hatten, waren in diesem Prozess unglaublich hilfreich. Ich habe auch meine eigene Bewertung unter Verwendung der wichtigsten CIS-Kontrollen und des ISO-Rahmens durchgeführt und die Ergebnisse mit dem NIST-CSF-Reifegradmodell verglichen.

‍

Und in den nächsten Jahren baute ich das Sicherheitsprogramm und das Compliance-Programm aus und übernahm die Verantwortung für die SOX 404 IT General Controls.

‍

Wir haben zahlreiche Sicherheitskontrollen eingeführt und die Prozesse verschärft, um die SOX-Anforderungen zu erfüllen. Ich habe ein Team zusammengestellt, das auf drei Vollzeitbeschäftigte und drei Auftragnehmer angewachsen ist, zusätzlich zu der Arbeit, die C-Risk für uns in den Bereichen Compliance und Risikobewertung geleistet hat.

Durch diese Bemühungen konnten wir den Sicherheitsgrad von Funko in knapp zwei Jahren von 1,8 auf 3,3 erhöhen, was ich angesichts unserer kleinen Teamgröße für ziemlich beeindruckend halte.

Wie sind Sie an die Budgetierung und Planung für die Entwicklung dieses Sicherheitsprogramms herangegangen?

Markus: Als ich reinkam, gab es kein spezielles Sicherheitsbudget — alles war als Pauschalbetrag im IT-Infrastrukturbudget zusammengefasst. Also musste ich bei der Budgetierung und Planung bei Null anfangen.

‍

Ich habe viel Arbeit geleistet, um die sicherheitsspezifischen Kosten aufzuschlüsseln und zukünftige Bedürfnisse zu prognostizieren. Mein Ansatz bestand darin, eine strategische Roadmap zu erstellen. Zunächst habe ich auf der Grundlage der anfänglichen Lückenanalyse eine einjährige Roadmap erstellt. Dann habe ich eine dreijährige strategische Roadmap entwickelt.

‍

Dieser Ansatz ermöglichte es mir das notwendige Budget vorzuschlagen und zu begründen an den Vorstand und die Interessengruppen. Es war von entscheidender Bedeutung, unsere Sicherheitsbedürfnisse, die damit verbundenen Kosten und die erwarteten Verbesserungen unserer Sicherheitslage im Laufe der Zeit klar zu kommunizieren.

‍

Sie haben die Bedeutung der Zusammenarbeit im Bereich der Informationssicherheit erwähnt. Können Sie Ihren Ansatz näher erläutern?

‍

Markus: Absolut. Für mich liegt der Schlüssel zum Erfolg in der Informationssicherheit in der Zusammenarbeit in allen Bereichen, nicht nur innerhalb der IT. Ich glaube, zu viele Informationssicherheitsprogramme machen den Fehler, Scheuklappen aufzusetzen und nur auf Technologie zu schauen und dabei Menschen und Prozesse zu vergessen.

‍

Meiner Ansicht nach sind alle drei Elemente - Technologie, Menschen und Prozesse - sind ebenso wichtig. Je stärker die Beziehungen sind und je besser Sie mit Ihren Geschäftspartnern zusammenarbeiten können, desto erfolgreicher wird Ihr Informationssicherheitsprogramm sein.

‍

Dieser kooperative Ansatz ermöglichte es uns, einen umfassenderen Überblick über unsere Risikolandschaft zu erhalten und sicherzustellen, dass unsere Sicherheitsmaßnahmen auf die Bedürfnisse und Realitäten des gesamten Unternehmens abgestimmt waren.

‍

Eine bemerkenswerte Verbesserung war ein wirklich aufschlussreiches Gespräch mit der Rechtsabteilung. Dies half uns, sekundäre Risikofaktoren zu verstehen, wie zum Beispiel die potenziellen Kosten von Sammelklagen für das Unternehmen.

‍

Wie haben die FAIR-Bewertungen bei der Analyse des Versicherungsschutzes für Cyberrisiken bei Funko geholfen?

‍

Markus: Die FAIR-Bewertungen waren sehr hilfreich bei der Bewertung unserer Versicherungsschutz für Cyberrisiken. Wir haben uns jedes von uns entwickelte Risikoszenario angesehen und es mit unserer Cyberrisiko-Versicherungspolice verglichen, um festzustellen, ob und in welchem Umfang jedes Szenario abgedeckt ist.

‍

Diese Analyse ermöglichte es uns, Bereiche zu identifizieren, in denen wir gut abgedeckt waren, und es wurden auch ein oder zwei Punkte aufgedeckt, die nicht abgedeckt waren. Diese Informationen führten zu Diskussionen über eine mögliche Änderung unseres Versicherungsschutzes.

‍

Einer der größten Vorteile der Verwendung von FAIR für Versicherungsanalysen besteht darin, dass Sie dadurch eine klare Vorstellung von Ihren potenziellen finanziellen Auswirkungen erhalten, falls es zu einem Kompromiss kommt. Auf diese Weise können Sie fundiertere Entscheidungen über Ihren Versicherungsschutz treffen. Idealerweise sollten Sie sicherstellen, dass Sie für Worst-Case-Szenarien abgesichert sind, um Ihre Prämienkosten zu optimieren.

‍

Wie schätzen Sie die Bedeutung einer quantitativen Risikoanalyse in der Kommunikation mit der Geschäftsleitung und dem Vorstand ein?

‍

Markus: Bei der Präsentation vor dem Vorstand ist es wichtig, Zahlen anzugeben, die aus geschäftlicher Sicht Sinn machen. Einfach zu sagen, dass wir "ein hohes Risiko von 10% und ein mittleres Risiko von 60%" haben, ist nicht aussagekräftig, und sie werden schnell verschwinden. Stattdessen sollten Sie in Bezug auf die Höhe des Risikos und die Wahrscheinlichkeit unerwünschter Ereignisse kommunizieren.

‍

Normalerweise präsentiere ich Daten zuerst und verwende visuelle Elemente wie Diagramme oder Grafiken, um die Aufmerksamkeit auf bestimmte Bereiche zu lenken. Bei Funko habe ich ein Rad entworfen, das in Quadranten aufgeteilt ist, von denen jeder ein anderes Risikoszenario darstellt. Der Schlüssel liegt immer darin, mit Daten zu beginnen und Farben oder Grafiken zu verwenden, um sich auf bestimmte Bereiche zu konzentrieren, die Sie hervorheben möchten.