Wie Sie Ihr Vorstandsgremium für das Thema Sicherheit sensibilisieren (bevor eine Sicherheitsverletzung Sie dazu zwingt)

Wenn Sie jemals einen dieser Artikel über „Vorlagen für die Berichterstattung an den Vorstand für CISOs“ gelesen und gedacht haben: „Ah ja, mein Vorstand wird sich sicher 25 Minuten lang mit meinem Posture-Dashboard beschäftigen und Folgefragen zur Burn-Down-Geschwindigkeit des Backlogs an Schwachstellen stellen“, dann habe ich eine wunderbare Nachricht für Sie: Sie haben noch nicht genug Vorstände kennengelernt.

Die meisten Unternehmensvorstände wollen kein Sicherheits-Dashboard. Sie wollen keine Sicherheitsmetriken. Sie wollen keine Heatmap, die aussieht wie eine Risikobewertung der NASA vor einem Raketenstart. Was sie wollen, ob sie es nun ausdrücklich sagen oder nicht, ist Entscheidungshilfe.

Sie wollen eine vertretbare Möglichkeit, zwischen konkurrierenden Risikonarrativen zu wählen. Sie wollen wissen, ob sie in die Risikominderung A oder B investieren sollen. Sie wollen Unsicherheiten reduzieren. Sie wollen Überraschungen vermeiden, die ihre Karriere beenden könnten, und hier kommt der Teil, den die meisten Sicherheitsverantwortlichen nicht hören wollen:

Vorstände finanzieren Sicherheit nicht, weil sie wichtig ist. Sie finanzieren Sicherheit, wenn die Entscheidung rational, begrenzt und vertretbar erscheint.

Lassen Sie uns darüber sprechen, wie wir das erreichen können.

Warum Vorstände sich nicht um Sicherheit kümmern

Vorstände sind nicht gegen Sicherheit. Sie sind weder leichtsinnig noch dumm. Sie sind lediglich strukturell, kulturell und psychologisch für Ergebnisdiskussionen optimiert.

Sicherheit ist eine seltsame Disziplin, denn das beste Ergebnis ist, dass nichts passiert. Keine Schlagzeilen. Keine Störungen. Keine Krisensitzungen. Keine Lösegeldverhandlungen. Keine plötzlichen Anrufe mit der Frage „Wie konnte das passieren?“.

Und „nichts ist passiert“ ist kein Ergebnis, das der Vorstand leicht bewerten kann. Es ist eine Leere. Es ist hypothetisch. Es ist kontrafaktisch. Es ist eine Geistergeschichte. Daher verfällt der Vorstand natürlich in die Denkweise, in die jeder Mensch verfällt:

„Bisher ist noch nichts passiert.“

Das ist eine tragisch verführerische Logik. Es ist auch einer der teuersten Sätze in der Unternehmensgeschichte. Das Problem ist, dass das Fehlen von Beweisen kein Beweis für das Nichtvorhandensein ist. Es ist eher ein Beweis für Glück, Unklarheit oder schlechte Aufdeckung. Die Vorstände handeln hier nicht irrational. Sie wenden dieselbe Argumentation an, die sie auch anderswo verwenden:

• Wenn wir versenden, erzielen wir Umsatz.
• Wenn wir vermarkten, sehen wir eine Pipeline.
• Wenn wir einstellen, sehen wir Durchsatz.
• Wenn wir Kosten senken, sehen wir Margen.

Aber Sicherheit? Der Erfolgsmesswert ist ein negativer Raum. Wenn Sie ihnen also nicht dabei helfen, die Entscheidung als konkret und begrenzt zu empfinden, wird Sicherheit immer nur als „nice to have“ angesehen werden.

Warum „Vertrauen Sie mir, das ist wichtig“ niemals funktioniert

Es gibt zwei gängige Sicherheitspräsentationen auf Vorstandsebene:

Beide Ansätze sind falsch und beide Ansätze scheitern. Vorstände reagieren nicht gut auf Panik, denn Panik ist kein Plan. Panik ist ein Verlangen nach emotionalem Vertrauen, und Vorstände sind ausdrücklich darauf ausgelegt, nicht emotional zu handeln.

Und Vorstände reagieren nicht gut auf Aussagen wie „alles ist in Ordnung“, denn dann stellt sich die Frage, warum Sie mehr Geld benötigen. Der CISO befindet sich in einer Zwickmühle zwischen der Gefahr, wie Chicken Little zu klingen, und der Gefahr, wie ein überfinanzierter Bürokrat zu klingen. Sie möchten nicht, dass der Vorstand Angst verspürt. Sie möchten, dass er Klarheit und Zuversicht empfindet.

Wie Vorstände tatsächlich über ROI und Risiko denken

Sicherheitsverantwortliche versuchen oft fälschlicherweise, den „ROI“ auf die gleiche Weise wie Marketing- oder Vertriebsmitarbeiter zu „beweisen“. Vorstände betrachten Sicherheit nicht wie Umsatz, sondern wie Risiken, Versicherungen und Widerstandsfähigkeit.

Hier ist das vereinfachte mentale Modell des Boards:

• Was machen unsere Mitbewerber?
• Wie hoch ist unser erwarteter Verlust?
• Was kostet es, ihn zu reduzieren?
• Wie hoch ist die Wahrscheinlichkeit?
• Was sind die Auswirkungen?
• Was ist die Unsicherheit?
• Was ist das schlimmste denkbare Ergebnis?

Sicherheitsrahmenwerke neigen dazu, einen Präventionsfokus zu haben. Sie gehen davon aus, dass wir schlimme Dinge verhindern können, wenn wir nur genügend Kontrollen implementieren und genügend Tools kaufen. Vorstände verstehen etwas, was Sicherheitsteams manchmal vergessen: Prävention ist keine binäre Angelegenheit. Einige Ausfälle sind unvermeidlich. Wie das Mantra der Informationssicherheit lautet, ist es keine Frage, ob Sie angegriffen werden, sondern wann. Aus diesem Grund finanzieren Vorstände Versicherungen, wehren sich jedoch gegen höhere Ausgaben für Sicherheitstools.

Eine Versicherung ist ein begrenztes Finanzinstrument. Sie umfasst eine Prämie, eine Police und eine Auszahlung. Auch wenn sie nicht alles abdeckt, handelt es sich um eine vertraute Entscheidungsform.

Sicherheitsinvestitionen sind oft unbefristete Verpflichtungen:

• „Wir brauchen eine Plattform.“
• „Wir brauchen ein Programm.“
• „Wir brauchen eine bessere Körperhaltung.“
• „Wir brauchen mehr Werkzeuge.“

Die Vorstände hören: „Wir brauchen einen Blankoscheck, um einen unsichtbaren Feind für immer zu bekämpfen.“ Das ist keine vorstandsfreundliche Forderung. Der Vorstand möchte eine Wahlmöglichkeit, um eine Entscheidung treffen zu können.

Die tatsächlichen Kosten einer Sicherheitsverletzung

Die meisten Diskussionen über die Kosten von Datenschutzverletzungen bleiben an der Oberfläche hängen:

• Geldstrafen
• gerichtliche Vergleiche
• PR-Schaden

Das ist zwar wichtig, aber die operative Realität ist noch schlimmer und relevanter. Die wahren Kosten einer Sicherheitsverletzung sind die erzwungene Umverteilung Ihrer knappsten Ressource: der Konzentration Ihrer Ingenieure. Ein schwerwiegender Vorfall kostet nicht nur Geld. Er verdrängt geplante Arbeiten. Er raubt Ihnen Monate der Entwicklungszeit.

Die Reaktion auf Vorfälle ist nicht „nur eine Bereinigung durch die IT-Abteilung“. Eine echte Reaktion auf Vorfälle umfasst:

• Forensische Untersuchung, die die Außerbetriebnahme von Geräten erfordert, die der Kontrollkette unterliegen
• Hardware-Aktualisierung (da kompromittierte Endgeräte nicht vertrauenswürdig sind)
• Notfall-Identitätszurücksetzungen und Neugestaltung des Zugriffs
• Neugestaltung der Cloud-Architektur unter Zwang
• secrets Zertifikate neu ausstellen
• Erneute Validierung von Backups (die ebenfalls kompromittiert sein könnten)

Es ist chaotisch, teuer und störend (fragen Sie einfach Caesars oder 23andMe).

Kundenvertrauen und Kundenabwanderung sind ebenfalls keine theoretischen Konzepte. Loyalität ist schwer zu gewinnen und leicht zu verlieren, insbesondere bei Unternehmensverträgen, bei denen Verlängerungszyklen eine natürliche Ausstiegsmöglichkeit bieten.

Nach einem Sicherheitsverstoß lautet die Frage nicht mehr „Wie hat der Angreifer das geschafft?“, sondern „Wer wusste was und wann?“ Plötzlich wird Ihr Sicherheitsprogramm nicht mehr anhand seiner technischen Vorzüge bewertet, sondern anhand seiner narrativen Verteidigungsfähigkeit durch Besserwisser.

Was uns zu der unangenehmen Wahrheit führt:

Der erste Angriff ist der Bedrohungsakteur.
Der zweite Angriff sind alle anderen.

Wie man über Sicherheitsverletzungen spricht

Erfahrene CISOs beschäftigen sich nicht mit der Wahrscheinlichkeit von Sicherheitsverletzungen. Sie sprechen über die Häufigkeit von Sicherheitsverletzungen.

Denn die Frage ist nicht, ob Sie jemals einen Zwischenfall haben werden. Die Frage ist:

• Wie oft werden Sie Kompromisse eingehen müssen?
• Wie schnell werden Sie es entdecken?
• Wie gut kannst du es unter Kontrolle halten?
• Wie schnell können Sie den Betrieb wiederherstellen?

Das ist Resilienzdenken, kein Präventionsdenken. Und wenn jemand sagt: „Wir hatten noch nie einen Sicherheitsverstoß“, ist es nicht richtig, zu widersprechen. Vielmehr sollte man die Aussage behutsam umformulieren. Je ausgereifter Ihre Erkennungssysteme sind, desto mehr Vorfälle und Sicherheitsverstöße werden Sie entdecken. Für Führungskräfte ist das sehr kontraintuitiv. Mit anderen Worten: Eine verbesserte Transparenz kann dazu führen, dass Sie zunächst „schlechter“ dastehen, bevor Sie sicherer sind.

Angreifer nutzen auch viel häufiger grundlegende Sicherheitslücken aus als attraktive Zero-Day-Exploits. Der Mythos, dass für Sicherheitsverletzungen hochkarätige Angreifer erforderlich sind, ist zwar beruhigend, aber in der Regel falsch. Moderne Angreifer handeln schnell. Die durchschnittliche Zeit bis zur Ausnutzung wird heute in Minuten und Stunden gemessen, nicht mehr in Tagen und Wochen, insbesondere da KI die Entwicklung von Exploits und das Ausmaß von Phishing beschleunigt. Ihre Widerstandsfähigkeit wird durch Ihre Anpassungsfähigkeit definiert und nicht durch Ihre Fähigkeit, Backups wiederherzustellen und zu einem früheren Zustand zurückzukehren. Denn der frühere Zustand war die anfällige Konfiguration, die überhaupt erst zu Ihrer Sicherheitsverletzung geführt hat.

Die einzigen Sicherheitsmetriken , die für Sicherheitsmetriken tatsächlich von Bedeutung sind

Vorstände wollen kein Armaturenbrett. Sie wollen ein Lenkrad. Welche Sicherheitsmetriken also Sicherheitsmetriken ?

Risikoexpositionstrends

Nicht „Anzahl der Schwachstellen“, sondern wie sich Ihre Gefährdung verändert und warum. Berichten Sie immer in Prozenten und Deltas gegenüber den Kennzahlen des Vorquartals und nicht in absoluten Zahlen der Schwachstellen.

Zeit bis zur Erkennung und Zeit bis zur Behebung

Dies sind operative Kennzahlen mit direkter geschäftlicher Bedeutung. Beziehen Sie automatisch korrigierte Kennzahlen aus dem Code-Scan für gemeinsam genutzte secrets und anfällige Konfigurationen in Ihr CSPM, Konfigurationsabweichungen und Risiken in der Lieferkette wie die jüngsten NPM-Shai-Hulud-Angriffe.

Reduzierung des Explosionsradius

Dies ist das für den Vorstand relevanteste Sicherheitskonzept: Eindämmung. Nicht „Können wir jedes Feuer löschen?“, sondern „Können wir verhindern, dass ein Küchenbrand das gesamte Gebäude zerstört?“. 

Hier kommt das „Was-wäre-wenn“-Denken zum Tragen. Der SRE-Blog von Google hat das „Wheel of Misfortune“ mit wöchentlichen Tabletop-Übungen populär gemacht: wiederkehrende strukturierte Vorfallsimulationen. Die NASA verwendet ein ähnliches Konzept: das „Pre-Mortem“. Man geht von einem Ausfall aus und arbeitet dann rückwärts, um zu verstehen, wie es dazu kommen wird. Security Chaos Engineering ist die Weiterentwicklung davon: durchdachte Experimente rund um Ausfallzustände, die in der betrieblichen Realität verwurzelt sind und nicht nur Theater sind.

Bekannte Unbekannte vs. blinde Flecken

Vorstände können Unsicherheit nachvollziehen. Sie können jedoch nicht nachvollziehen, dass „wir 13.492 kritische Schwachstellen haben“. Aber sie können Folgendes nachvollziehen:

• „Wir wissen nicht, ob eine seitliche Bewegung zwischen diesen Umgebungen möglich ist.“
• „Wir haben keine objektive Validierung unserer externe Angriffsfläche.“
• „Wir wissen nicht, ob unsere Erkennungs-Pipeline Credential Stuffing erkennen kann.“

Aus diesem Grund sind Penetrationstests durch Dritte bei richtiger Anwendung äußerst wertvoll. Nicht als Abhakliste, sondern als objektive Ermittlung und Validierung von Risikomechanismen.

Sicherheitsmetriken Ihrem Fall schaden

Lassen Sie uns nun über die Kennzahlen sprechen, die Vorstände und Führungskräfte abschrecken.

Werkzeuganzahl

Mehr Tools bedeuten nicht mehr Sicherheit. Jedes Tool ist praktisch ein privilegierter Benutzer. Jedes einzelne wird Teil der Angriffsfläche. Jedes einzelne erhöht die Komplexität des Betriebs. Eine tiefgreifende Reife mit wenigen Tools ist besser als eine oberflächliche Implementierung von Dutzenden von Tools.

Sicherheitslückenvolumen

Nicht alle kritischen und hohen Schwachstellen sind gleich. Der Aufstieg des EPSS-Denkansatzes macht dies deutlich: Nur ein kleiner Prozentsatz der Schwachstellen wird jemals bei tatsächlichen Sicherheitsverletzungen ausgenutzt. Volumenbasierte Metriken verwirren die Priorisierung.

CVE-Schweregrad-Gesamtwerte

Die Schwere ist nicht gleichbedeutend mit der Ausnutzbarkeit. Erreichbarkeit und Kontext sind wichtiger. Vorstände wollen keinen Krieg gegen Zahlen finanzieren, weil dieser einfach nicht gewonnen werden kann.

Prozentsätze Compliance

Jedes Unternehmen, das Opfer eines Datenlecks wurde, hatte Audits und compliance . Compliance eine niedrige Messlatte. Das Ziel ist echte Sicherheit. Wenn CISOs diese Kennzahlen dem Vorstand vorlegen, tun sie dies oft, weil diese Kennzahlen am einfachsten zu erstellen sind. Aber einfach ist nicht gleichbedeutend mit überzeugend.

Mit POCs hypothetische Risiken in Beweise umwandeln

Eines der wirksamsten Instrumente, über das ein Sicherheitsverantwortlicher verfügt, ist der bezahlte Proof-of-Concept. Nicht als Feature-Bake-off, sondern als strukturiertes Experiment zur Ermittlung von Erkenntnissen. Ein guter POC ist vorstandssicher, da er Beweise liefert, ohne Panikmache zu betreiben. Er kann:

• Oberfläche unbekannt kritische Probleme
• Überprüfen Sie, ob eine Risikobeschreibung real ist.
• Unsicherheit hinsichtlich der aktuellen Kontrollen verringern
• eine vertretbare Grundlage für Investitionen schaffen

Der Schlüssel liegt darin, es wie ein Geschäftsexperiment zu behandeln:

• Definieren Sie die Hypothese.
• Definieren Sie die Erfolgskriterien.
• Definieren Sie den Zeitrahmen.
• Definieren Sie, wie „Nein“ aussieht.

Dann können Sie zum Vorstand zurückkehren und sagen: „Wir haben eine begrenzte Bewertung durchgeführt. Das haben wir dabei gelernt. Das sind die Entscheidungsoptionen.“ Vorstände lieben begrenzte Entscheidungen.

Budgetzuweisungen nach einer Verletzung

Es gibt ein tragisches Muster in der Sicherheitsführung: Sicherheitsverletzung → „Ich habe es doch gesagt“ → Budget freigegeben.

Aber das ist ein vergiftetes Geschenk. Denn der CISO nach dem Sicherheitsverstoß erhält oft die Ressourcen, um die der CISO vor dem Sicherheitsverstoß gebeten hatte und die ihm verweigert wurden. Und der CISO vor dem Sicherheitsverstoß wird oft vor die Tür gesetzt. Das ist nicht nur unfair, sondern schadet auch dem Unternehmen. Aufgrund des zweiten Angriffs zerstören die Besserwisser, Ermittler, Versicherer und Aufsichtsbehörden oft die Glaubwürdigkeit des CISO, selbst wenn dieser den Vorfall gut gehandhabt hat.

Viele CISOs überstehen den zweiten Angriff nicht. Und dann führt die Nachfolgeplanung – oder das Fehlen einer solchen – zu einer völlig neuen Schwachstelle. Die Angreifer wissen das. Sie nutzen das Chaos des Führungswechsels aus. Am Ende kann es sein, dass Sie an zwei oder drei Fronten kämpfen müssen:

• opportunistische Angreifer
• organisierte Kriminalität
• interne organisatorische Instabilität

Um diese Falle zu umgehen, muss vor dem Verstoß eine Entscheidungshilfe auf Vorstandsebene geschaffen werden.

Wie man mit häufigen Einwänden umgeht

Führungskräfte und Vorstände haben eine kleine Reihe vorhersehbarer Einwände. Der Fehler besteht darin, diese wie in einer Debatte zu widerlegen. Der richtige Schritt ist, sie wie eine Entscheidung neu zu formulieren. Sie sollten auch sicherstellen, dass Sie „Anhang A: Fragen des Vorstands an die Geschäftsleitung zum Thema Cybersicherheit” aus dem NACD 2017 Board Handbook lesen und darauf vorbereitet sein, jede dieser Fragen zu beantworten.

„Das ist zu teuer.“

„Teuer“ im Vergleich zu was? Im Vergleich zum erwarteten Verlust? Im Vergleich zu den Kosten für Ausfallzeiten? Im Vergleich zu den Opportunitätskosten für umgeleitete Engineering-Sprints und Lieferungen?

„Wir haben bereits etwas.“

Dies ist ein blinder Fleck Einwand und beinhaltet in der Regel einen Verweis auf gebündelte Dienste aus Ihrem Microsoft 365-Abonnement. Diskutieren Sie nicht über den Ersatz, sondern sprechen Sie darüber, dass Microsoft Defender notwendig, aber nicht ausreichend ist. Sprechen Sie über Ergebnisse:

• Was können wir erkennen?
• Was können wir verhindern?
• Was können wir enthalten?
• Was wissen wir nicht?

„Wir erfüllen bereits die Anforderungen.“

Compliance keine Risikominderung. Es ist der Nachweis, dass Sie eine Checkliste erfüllt haben. Es ist kein Nachweis dafür, dass Sie einen Vorfall überstehen können.

„Wir werden es intern entwickeln.“

Interne Build-Entscheidungen müssen Folgendes umfassen:

• Wartungsaufwand
• Ausbildungskosten für neue Mitarbeiter
• Opportunitätskosten
• langfristiges Eigentumsrisiko

Bei der Entscheidung zwischen Eigenentwicklung und Kauf sollte unbedingt berücksichtigt werden, ob es sich um eine Kernkompetenz handelt. Sicherheitstools sind kein „Einmalprojekt“. Sie sind eine operative Verpflichtung und ein fortlaufender Prozess. Viele Jahre lang wurde der E-Mail-Betrieb in Unternehmen von einem mehrköpfigen IT-Team gewährleistet. Heute wird dieser Bereich weitgehend an Microsoft und Google ausgelagert, was zu deutlich besseren Sicherheitsergebnissen und geringeren Kosten führt. Phil Venables erwähnte einmal gegenüber mir, dass sein größtes Bedauern in seiner Zeit als Sicherheitsbeauftragter bei Goldman Sachs darin bestand, dass das Unternehmen viel zu viele seiner Kompetenzen intern abgewickelt habe, nur weil es dies konnte. Nicht weil es das Richtige war.

„Wir werden Open Source verwenden.“

Open Source ist zweifellos hervorragend und vertrauenswürdig. Aber Vorstände sollten den Unterschied zwischen folgenden Punkten verstehen:

• Fähigkeit
• Zuverlässigkeit
• Verantwortlichkeit

Open Source gibt Ihnen Code. Es gibt Ihnen keine Servicegarantie oder „einen einzigen Ansprechpartner“.

„Pentests reichen aus.“

Pentests sind Momentaufnahmen, die oft nur einmal pro Jahr durchgeführt werden. Vorstände sollten ein kontinuierliches Risikomanagement fordern.

„Das wird uns nicht betreffen / Wir werden niemals gehackt werden.“

Vertrauen ist eine Annahme. Annahmen müssen überprüft werden. Hier kommt die Beratung durch den Vorstand ins Spiel. Der Vorstand muss sich nicht mit technischen Details befassen. Er muss jedoch in der Lage sein, Entscheidungen zu IT-Risiken und Geschäftsunterbrechungen zu treffen, um die Natur von Cybersicherheitsrisiken als systemisches Risiko zu verstehen.

Wie ein vorbereiteter Investitionsfall für Sicherheit aussieht

Wie sieht also eine glaubwürdige Sicherheitsinvestition tatsächlich aus?

Klare Risikodefinition und ein relevanter Rahmen

Die Wahl des Frameworks ist entscheidend. Einige Frameworks sind veraltet und für Cloud-native Unternehmen ungeeignet. Eine der schlimmsten Entscheidungen, die Sie treffen können, ist, Ihr Unternehmen auf einem veralteten Maßstab basieren zu lassen. Die CIS Top Controls gehören zu den besten Cybersicherheits-Frameworks, da sie regelmäßig aktualisiert werden und mit den Innovationen und Techniken der Cloud Schritt halten.

Messbare Verringerung der Unsicherheit

Sicherheit bedeutet nicht nur Kontrollen. Es geht darum, Unklarheiten zu reduzieren. Und hier ist das Zitat zum Thema Führung, das sich jeder Führungskraft merken sollte:

„Als Manager setzen wir einen Plan um,
als Führungskräfte gehen wir mit Knappheit um, und
als Führungskräfte gehen wir mit Unklarheiten um.“

Vorstände gehen mit Unklarheiten um. Ihre Aufgabe ist es, ihnen dabei zu helfen, diese zu reduzieren, indem Sie ihnen den Kontext und die Daten präsentieren.

Zeitgebundene Bewertung mit qualitativem ROI

Übertreiben Sie es nicht mit der Mathematik. Bleiben Sie konzeptionell. „Wie sieht Erfolg in 90 Tagen aus? In 6 Monaten?“ Wann macht sich die Lösung durch Kosteneinsparungen oder die Stilllegung eines veralteten Tools bezahlt, das keine wirksamen Sicherheitskontrollen und Risikovermeidung mehr bietet?

Definierte Erfolgskriterien

Funktionale und nicht-funktionale Anforderungen:

• Verfügbarkeit
• Vertraulichkeit
• Integrität
• Betriebsaufwand
• Auswirkungen auf die Widerstandsfähigkeit

So verpacken Sie die Anfrage so, dass der Vorstand sie genehmigen kann, ohne das Gefühl zu haben, sich auf ein Wunschdenken einzulassen.

Der eine Fehler, den CISOs machen, wenn sie mit Vorständen sprechen

Der größte Fehler, den CISOs machen, ist zu glauben, dass der Vorstand Sicherheitsmaßnahmen finanzieren wird, weil sie wichtig sind. Vorstände finanzieren keine Wichtigkeit. Sie finanzieren vertretbare Entscheidungen. Das Ziel ist also nicht, sie mit der Komplexität der Bedrohungslage zu beeindrucken.

Das Ziel ist es, ihnen einen begrenzten, rationalen Kompromiss anzubieten:

• Hier sind die konkurrierenden Risikobeschreibungen.
• Hier ist, was wir wissen.
• Hier ist, was wir nicht wissen.
• Hier sind die Optionen.
• Hier sind die Kosten.
• Hier sind die Änderungen, die sich ergeben, wenn wir handeln.
• Hier ist, was ungewiss bleibt, wenn wir es nicht tun.

Wenn Sie das tun, kann der Vorstand seine Arbeit machen. Und ironischerweise fangen sie dann an, sich um die Sicherheit zu kümmern.

Pace Layering und warum Governance langsam voranschreitet

Gute Sicherheitsprogramme wirken auf mehreren Ebenen der Veränderung. Das Pace-Layering-Modell von Stuart Brand ist hier hilfreich:

• Mode
• Handel
• Infrastruktur
• Governance
• Kultur
• Natur

Technologie entwickelt sich schnell, ähnlich wie die Mode. Governance entwickelt sich langsam, und diese Langsamkeit ist kein Problem, das gelöst werden muss. Sie ist die Stabilitätsschicht, die Unternehmen vor dem Scheitern bewahrt. Wenn Sie möchten, dass der Vorstand handelt, müssen Sie in Governance-Begriffen sprechen: begrenzte Entscheidungen, weniger Unklarheiten, vertretbare Kompromisse. Denn mit dem Vorstand zu sprechen ist der einfache Teil.

Das Schwierige ist, ihren Gedanken einen Mehrwert zu verleihen.