Emily Wearmouth: Hallo und willkommen beim Security Visionaries Podcast, einem Ort, an dem wir führende Vertreter der Cybersicherheit einladen, um mit uns über interessante Themen zu sprechen. Und genau das tun wir heute: Wir diskutieren die Rolle eines NED oder Non-Executive Director. Ich bin Ihre Gastgeberin Emily Wearmouth. Lassen Sie mich Ihnen meine Gäste vorstellen. Richard Starnes ist der CISO von Six Degrees und außerdem nicht geschäftsführender Direktor des Cyber Resilience Centre for London sowie Schulrat der Lenham School in Kent im Rahmen des Cyber Governors Scheme. Er hat sowohl in den USA als auch in Großbritannien gearbeitet und gehört zu unserem elitären Club von Gästen, die ebenfalls Positionen in der Strafverfolgung innehatten, was ich im Podcast immer gerne mit einbeziehe. Er ist Empfänger des ISC2 CEO Award und wurde zu einem der Top 50 Informationssicherheitsexperten ernannt. Willkommen zum Podcast, Richard.
Richard Starnes: Vielen Dank.
Emily Wearmouth: Mein zweiter Gast ist Homaira Akbari, sie ist Präsidentin und CEO von AKnowledge Partners, einem globalen Beratungsunternehmen, und sie hatte leitende Managementpositionen in einer Reihe großer Unternehmen inne, darunter Microsoft und Thales. Aber wir haben sie eingeladen, sich uns heute anzuschließen, weil sie über umfangreiche Erfahrung in der Leitung von Vorstandsgremien verfügt und in sechs Vorstandsgremien börsennotierter und 15 privater Unternehmen tätig war. Derzeit ist sie nicht geschäftsführende Direktorin im Vorstand der Banco Santander und hat die gleiche Funktion auch bei Landstar System inne. Und damit nicht genug: Sie ist außerdem Autorin von über 50 wissenschaftlichen Artikeln in internationalen Zeitschriften. Sie hat zwei Patente und einen Doktortitel in Teilchenphysik, was einfach nur cool ist, also freue ich mich sehr, dass Sie heute bei uns sind. Danke, dass du hier bist, Homaira.
Homaira Akbari: Nun, danke, Emily.
Emily Wearmouth: Ich werde also direkt mit der offensichtlichen Frage beginnen und diese zunächst Ihnen stellen, Richard. Was ist ein nicht geschäftsführender Direktor?
Richard Starnes: Ich komme jetzt zu einer englischen Redewendung, bei der es ein bisschen um die Frage „Wie lang ist ein Stück Schnur?“ geht. Diese kann sehr unterschiedlich ausfallen, je nachdem, in welcher Branche Sie eine NED-Stelle haben, und je nach Größe und einer Vielzahl anderer Dinge. Es kommt also irgendwie darauf an.
Emily Wearmouth: [lacht] Homaira, können Sie uns helfen? Können Sie das etwas konkretisieren? Was sind einige der allgemeinen Merkmale der Rolle eines nicht geschäftsführenden Direktors/einer nicht geschäftsführenden Direktorin?
Homaira Akbari: Ja, jedes Unternehmen, ob privat oder börsennotiert, sollte über eine Governance verfügen. Was bedeutet Governance? Damit ist eine Gruppe von Personen gemeint, die als Vorstand bezeichnet wird und die Verantwortung und Treuepflicht übernimmt, insbesondere die Treueverantwortung und Sorgfaltspflicht bei der Steuerung aller Grundsätze für das Unternehmen, von der Satzung und dem Geschäftsrhythmus bis hin zu den strategischen Zielen. Außerdem verfügt der Vorstand über ein Kontroll- und Ausgleichssystem hinsichtlich der Vorschriften und der Einhaltung von Vorschriften.
Homaira Akbari: Das ist also der Vorstand. Und im Vorstand gibt es eine Gruppe von Leuten, zum Beispiel den CEO des Unternehmens, der normalerweise Direktor des Unternehmens werden würde, aber natürlich eine leitende Funktion innehat. In Großbritannien ist der CFO bzw. Finanzvorstand häufig zugleich Direktor, in den USA und vielen anderen Ländern ist dieser Trend bzw. diese Praxis jedoch faktisch abgeschafft worden. Normalerweise ist nur der CEO der Geschäftsführer und es kann sein, dass ehemalige Geschäftsführer im Vorstand sitzen. Wenn es aber jemanden gibt, der vom Unternehmen unabhängig ist, der weder früher für das Unternehmen gearbeitet noch das Unternehmen beraten hat oder zumindest in der jüngeren Vergangenheit (manchmal sind es fünf Jahre) sehr eng mit dem Unternehmen verbunden war, beispielsweise einen Wirtschaftsprüfer oder Partner großer Wirtschaftsprüfungsgesellschaften, dann würde man ihn als nicht geschäftsführenden Direktor bezeichnen.
Emily Wearmouth: Richard, bedeutet die Distanz und die größere Unabhängigkeit vom Führungsteam, dass sie nicht bezahlt werden? Handelt es sich hierbei noch um eine Geschäftsbeziehung? Ist das noch eine Art Beschäftigung?
Richard Starnes: Ich denke, die Unterscheidung zwischen Anstellung und Beruf ist interessant, aber manche Beschäftigungen sind bezahlt und manche unbezahlt. Es hängt vom Board selbst ab. Bei kleineren Non-Profit-Organisationen oder kleineren Berufsverbänden sind diese normalerweise unbezahlt, jedenfalls auf der Ebene von Homaira. Und ich muss ehrlich sein, nachdem ich mir Ihre Einführung angehört habe, Homaira, verspüre ich ein leichtes Hochstapler-Syndrom.
Emily Wearmouth: Sie ist beeindruckend, nicht wahr?
Richard Starnes: Sehr beeindruckend. Was in aller Welt mache ich hier? Aber solche Positionen werden offensichtlich vergütet.
Homaira Akbari: Lassen Sie mich zunächst einmal vielen Dank an Sie, Richard. Und ich freue mich sehr, bei diesem Gespräch dabei zu sein. Und ich finde, die unterschiedlichen Hintergründe machen es so interessant. Aber Sie haben, Emily, Werbung erwähnt. Zwischen einem NED besteht eigentlich keine Geschäftsbeziehung, zumindest sollte es keine geben, da sie tatsächlich eine treuhänderische Verantwortung gegenüber allen Anteilseignern tragen, auch bei gemeinnützigen Organisationen. Außerdem arbeite ich, wie Richard sagte, in einer gemeinnützigen Organisation. Man wird nicht nur nicht bezahlt, sondern zahlt tatsächlich. Sie müssen zahlen, weil die Organisation gemeinnützig ist und Geld benötigt. Aber unabhängig davon, ob es gemeinnützig oder gewinnorientiert ist, haben Sie tatsächlich eine Treueverantwortung gegenüber anderen Anteilseignern des Unternehmens oder anderen Teilnehmern, wenn Sie so wollen, oder Mitgliedern.
Homaira Akbari: Und daher würde ich mit dem Wort „kommerziell“ sagen, dass eine kommerzielle Beziehung besteht. Aber ja, die Vorstände gewinnorientierter Unternehmen werden grundsätzlich bezahlt. Und der Grund dafür ist, dass dies mit ziemlich viel Arbeit verbunden ist. Und noch einmal zurück zu: Sie haben eine Sorgfaltspflicht und eine treuhänderische Verantwortung. Und wenn Sie dieser Treuepflicht nicht nachkommen, müssen Sie mit rechtlichen Schritten der Aktionäre rechnen. Dafür erhältst Du eine Pauschalvergütung. Die meisten Gremien zahlen Ihnen zwar eine angemessene Bezahlung, aber Sie verdienen damit nichts, auch wenn Sie so wollen.
Emily Wearmouth: Ich war vor Kurzem tatsächlich auf einer Veranstaltung und habe dort ein paar NEDs reden hören, und beide waren sich einig, dass niemand des Geldes wegen dabei ist. Es gibt viele Gründe, warum Sie sich darauf einlassen. Es gibt zwar eine Entschädigung, aber niemandem geht es dabei ums Geld. Aber ich war sehr interessiert, sie haben darüber gesprochen, und Sie beide haben auch mehrere Rollen gleichzeitig inne. Wie hoch ist also der durchschnittliche Zeitaufwand? Gibt es einen Durchschnitt oder variiert dieser?
Homaira Akbari: Ja. Es variiert je nach Board. Aber im Durchschnitt ist es so, dass ein börsennotierter Vorstand, sagen wir ein mittelgroßes Unternehmen mit einer Marktkapitalisierung von 10 Milliarden, und ich nenne vielleicht ein europäisches, also ein europäisches mittelgroßes Unternehmen, normalerweise fünfmal im Jahr zusammenkommt, wobei viermal im Jahr tatsächlich Vorstandssitzungen stattfinden. Und einmal im Jahr ist, wenn Sie so wollen, eine Strategie. Sie erstellen also kein Board, sondern eine Strategie. Sie besuchen Tochtergesellschaften und Betriebsstätten. Und für diese fünf Mal, wenn Sie so wollen, werden Sie, je nachdem, woher Sie kommen, wahrscheinlich zwei bis drei Tage unterwegs sein, die Sitzungen inbegriffen. Man könnte also sagen, dass Sie etwa 15 bis 17 Tage persönlich mit einem Vorstand zusammenarbeiten und dann noch einmal wahrscheinlich 10 bis 15 Tage über das Jahr verteilt virtuell an virtuellen Telefonaten und auch an der Vorbereitung der Sitzungen teilnehmen. Für ein einzelnes Board können Sie also mit 25 bis 30 Tagen pro Jahr rechnen, was viel, aber auch wieder nicht viel ist.
Emily Wearmouth: Richtig. Das ist viel. Ja. Ja. Es ist sicherlich kein Vollzeitjob, aber ich glaube, es ist mehr, als ich vielleicht dachte, angesichts der Anzahl der Gremien, in denen manche Leute sitzen. Es scheint ziemlich zeitintensiv zu sein. Richard, was sind Ihre Erfahrungen? Und ich bin sehr an diesem Cyber-Governors-Programm interessiert, wir werden gleich etwas ausführlicher darüber sprechen. Aber wenn Sie überlegen, diese Rollen in einer kleineren Organisation zu übernehmen, vielleicht einer gemeinnützigen Organisation, vielleicht einer Schule, wie hoch ist dann der Zeitaufwand?
Richard Starnes: Der Zeitaufwand beträgt meiner Meinung nach 15 bis 20 Tage pro Board. Es ist nicht so schwerwiegend wie eine Verpflichtung, aber eines der Dinge, über die Homaira sprach, wäre meiner Meinung nach eine normale Situation. Es gibt eine Warnung zu verschiedenen Arten von Regisseuren, die ich ansprechen möchte. Es gibt Regisseure, die manchmal die Orientierung für das verlieren, was sie eigentlich tun sollen, und die sich von ihrer Rolle als Regisseure abwenden und in Richtung ... abdriften. Ich würde sagen, eine Führungskraft oder ein Vorstand, der sich etwas stärker in die operativen Aspekte des Unternehmens oder des Vorstands einmischt, als er sollte. Das ist eine Art Warnung. Ich würde sagen, Sie müssen sich daran erinnern, was Sie tun und warum Sie es tun.
Emily Wearmouth: Bis hierhin handelt es sich um einen Podcast, der von führenden Persönlichkeiten der Cybersicherheit angehört wird. Der Grund für dieses Gespräch ist, dass mir aufgefallen ist, dass im Laufe ihrer Karriere bei vielen Menschen die Position eines nicht geschäftsführenden Direktors in ihrem Lebenslauf und auf ihren LinkedIn-Profilen hinzugefügt wird, wenn sie auf der Karriereleiter nach oben klettern. Und ich wollte herausfinden, was Ihrer Ansicht nach der Grund dafür ist? Was ist für Sie als Führungskraft im Bereich Cybersicherheit reizvoll, diese Rollen zu übernehmen? Richard, was hat dich angezogen?
Richard Starnes: Für mich war es so … Ich befinde mich nun in der Spätphase meiner Karriere und bin mir zunehmend bewusst, dass ich etwas zurückgeben muss. Ich habe im Laufe meiner Karriere immer etwas zurückgegeben, aber ich denke, dass es an diesem Punkt meiner Karriere und meines Lebens meine Pflicht ist, dem Beruf und der Gemeinschaft mehr zurückzugeben. Und aus diesem Grund habe ich in beiden Gremien gesessen, um das zu erreichen.
Emily Wearmouth: Das klingt zwar herrlich altruistisch, aber es bringt doch sicher auch gewisse Karrierevorteile mit sich, wenn diese Namen im Lebenslauf stehen. Homaira, was ist Ihre Meinung? Was hat Sie zu diesen Arten von Rollen gebracht?
Homaira Akbari: Nun, ich denke, was Richard beschrieben hat, ist absolut wahr. Im Allgemeinen und historisch gesehen ist dies so ... Die Tätigkeit in Vorständen geschieht vor allem dann, wenn Sie in die zweite oder dritte Hälfte Ihrer Karriere eintreten, wenn Sie sich also in der dritten Hälfte Ihrer Karriere befinden, aber auch, weil Sie Erfahrung brauchen, und das ist ziemlich wichtig, Erfahrung in der Unternehmensführung oder als Führungskraft, oder als CEO ein Unternehmen zu leiten und Eigentümer von Gewinn und Verlust zu sein, weil Sie über eine ziemlich umfassende Erfahrung verfügen müssen, wenn Sie an Bord sind. Allerdings setzte vor etwa 15 oder sogar erst vor 15 bis 20 Jahren ein Trend ein, der zuerst in Europa und speziell in Norwegen aufkam. Dort wurde festgestellt, dass viele, wenn nicht alle, Vorstände überwiegend von Männern besetzt waren und man eine Geschlechterdiversifizierung anstrebte.
Homaira Akbari: Und infolgedessen haben sie Gesetze erlassen, nach denen in jedem Vorstand ein Frauenanteil von 30 bis 40 % bestehen muss. Dies hatte zur Folge, dass viele Vorstände bereits vor Inkrafttreten der Regelung mit einer Diversifizierung begannen und weibliche Vorstandsmitglieder ins Boot holten, die vielleicht zum ersten Mal im Vorstand waren und sich häufig noch im jüngeren Alter befanden und nicht unbedingt in der zweiten oder dritten Hälfte ihrer Karriere. Wenn man sich heute die Vorstände ansieht, sieht man, dass sie deutlich vielfältiger sind, und zwar nicht mehr nur hinsichtlich des Geschlechts, sondern auch hinsichtlich der Rasse und des Alters. Also hast du... Und das wurde sogar – Sie haben vorhin über Cybercrime gesprochen – noch deutlicher, als die Digitalisierung Realität wurde und allen, jedem Unternehmen klar wurde, dass sie eine digitale Transformation durchführen müssen. Erraten Sie, was? Die Mehrheit der Menschen, die wussten, wie man eine digitale Transformation durchführt, waren eher jünger. Die Vorstände wurden also flexibler und konnten zum Beispiel Vorstandsmitglieder haben, die 35 Jahre oder sogar jünger waren. Vor drei Jahrzehnten hingegen lag das Durchschnittsalter wahrscheinlich viel, viel höher, also so in den späten 50er oder 60er Jahren. Heute sinkt das Durchschnittsalter jedes Jahr ein wenig.
Homaira Akbari: Aber ich bin fest davon überzeugt, dass man alles auf einem Board braucht. Sie brauchen diese Diversifizierung sowohl hinsichtlich des Alters, der Technologie, der Erfahrung, des Hintergrunds, des Geschlechts, der Rasse ... Und ich denke, dass Gremien, die das getan haben – und das ist bei den meisten öffentlichen Gremien der Fall – wirklich davon profitiert haben.
Emily Wearmouth: Ich habe einige Untersuchungen von McKinsey gesehen, in denen es hieß … Dabei wurden gezielt 100 Vorstände untersucht und festgestellt, dass diejenigen mit dem vielfältigeren Team unter dem Strich die bessere Leistung erzielten. Es scheint also definitiv die richtige Richtung für ein Board zu sein.
Richard Starnes: Absolut, ich stimme Ihnen voll und ganz zu. Wir haben einen Beirat für das London Cyber Resiliency Centre einberufen, dessen Vorsitzender ich war. Dabei habe ich mir ganz gezielt die Demografie Londons angesehen und sichergestellt, dass diese mit der Demografie des Beirats übereinstimmte. Und ich glaube, wir haben sehr davon profitiert. 40 % unseres Beirats sind Frauen.
Emily Wearmouth: Das ist wirklich gut zu hören.
Homaira Akbari: Fantastisch. Herzlichen Glückwunsch.
Emily Wearmouth: Darf ich also behaupten, dass, wenn die digitale Transformation ein Treiber für mehr Vielfalt und möglicherweise eine jüngere Zusammensetzung der Vorstände war, wir uns dann einige der Herausforderungen ansehen könnten, mit denen Unternehmen derzeit konfrontiert sind, und eine davon, die ich ganz oben auf dem Radar habe, ist eine sich sehr schnell entwickelnde Bedrohungslandschaft. Könnte das bedeuten, dass jemand mit Cyber-Erfahrung heute ein weitaus attraktiveres Kompetenzspektrum in einen Vorstand einbringt als vielleicht noch vor 10 Jahren und dass wir daher eine Zunahme von Cybersecurity-Experten in Vorstandspositionen erleben könnten?
Homaira Akbari: Die Antwort ist ja und nein. [lacht] In gewissem Sinne ist es offensichtlich, dass Sie, wenn Sie über Kenntnisse im Bereich Cybersicherheit verfügen, als Cybersicherheitsexperte gelten könnten. Das ist positiv, reicht aber allein nicht aus.
Emily Wearmouth: Richtig.
Homaira Akbari: Auch wenn es Ihre Kandidatur enorm aufwerten würde, reicht es einfach nicht aus. Denn Sie erinnern sich, dass die Gremien an der Spitze unterschiedlich sind, ihre Größe variiert zwischen sieben und ungefähr 15 Personen, und jeder in den Gremien ist wichtig. Und wie wir bereits zuvor besprochen haben: Wenn Ihr Vorstand beispielsweise aus zwölf Mitgliedern besteht, sind vielleicht drei oder vier davon Führungskräfte oder ehemalige Führungskräfte. Jetzt haben Sie nur noch sieben oder acht Mitglieder, aus denen Sie auswählen können. Und bei all diesen sieben und acht Mitgliedern – wenn Sie beispielsweise ein internationales Unternehmen sind, das in Brasilien oder China vertreten ist – möchten Sie eine Vertretung aus diesen Regionen, weil das sehr wichtig ist. Man kann also nicht einfach jemanden auswählen, nur weil er Brasilianer ist und „ok, er war Geschäftsmann in Brasilien, deshalb brauche ich jemanden aus Brasilien“. Was Sie tun müssen, ist, dass jeder mehrere Dinge mitbringen muss, die er einbringen kann.
Emily Wearmouth: Richtig.
Homaira Akbari: Nicht nur eine Fähigkeit, deshalb ist Cybersicherheit allein nicht ausreichend. Ich habe beobachtet, und ich rate vielen CISOs, von denen viele tatsächlich daran interessiert sind, in Vorständen zu arbeiten, ihre Wissensbasis und ihre Karriere zu erweitern. Sie sollten nicht nur ihr Leben lang Chief Information Security Officer bleiben, sondern auch andere Dinge tun. Und wir haben tatsächlich CISOs gesehen, denen das gelungen ist. Und wir haben ein sehr eindrucksvolles Beispiel bei Banco Santander, wo unser CISO, der dort sieben Jahre lang tätig war, zum Gewinn- und Verlustverantwortlichen und Leiter der Transformation für den Einzelhandel und den Handel wurde, was wirklich eine sehr wichtige Position im Unternehmen ist.
Homaira Akbari: Und diese Beispiele sind sehr positiv. Sie sind selten und viel zu wenige, aber sie beginnen sich zu ereignen. Das Gleiche gilt übrigens auch für CIOs oder andere Positionen. Wenn Sie beispielsweise Chief AI Officer oder Chief Data Officer sind und Ambitionen haben, Vorstandsmitglied zu werden, müssen Sie erkennen, dass Sie sich und Ihre Karriere vielfältiger gestalten und eine vielseitige Person sein müssen. Denn das ist es, was der Vorstand braucht. Wir erstellen jetzt für jedes Board eine Maßstabsmatrix und sagen darin: „Okay, welche Dinge brauchen wir für das Board und welche davon bringen Sie mit ein?“ Und wenn Sie nur 2 von 15 Häkchen setzen, ist das nicht gut genug.
Emily Wearmouth: Richard, gibt es etwas, an dem Sie bewusst gearbeitet und das Sie auf der Grundlage Ihrer Erfahrungen und Referenzen erweitert haben, um den Gremien, in denen Sie tätig sind, einen größeren Mehrwert zu bieten?
Richard Starnes: Ich habe noch nie als CISO in einem Vorstand gedient. Ich werde einen Schritt zurücktreten und Ihre ursprüngliche Frage beantworten. Ich denke, die Frage unter CISOs wurde manchmal schlecht formuliert: Sollte ein CISO im Vorstand sitzen? Und meine allgemeine Antwort ist nein. Der Grund hierfür ist, dass Sie aufgrund einer bestimmten Funktion nicht in einem Vorstand sitzen können. Sie müssen in Ihren Tätigkeiten viel vielseitiger sein, und Ihre Erfahrungen sind eine Sache. Und außerdem: Sollten CISOs dem Vorstand Bericht erstatten? Ich glaube, das sollte der Fall sein. Und wenn ich „Bericht“ sage, dann meine ich, dass sie Berichte darüber erhalten sollten, was sie tun. Sollte dies nicht der Fall sein, wird der Vorstand eine Struktur mit Risiko- oder Sicherheitsausschüssen haben, denen jeweils ein Vorstandsmitglied angehört. Und sie sollten auf jeden Fall Mitglied davon sein. Aber meiner Ansicht nach sitzt man nicht als CISO da, nur weil man ein CISO ist.
Emily Wearmouth: Ja. Und ich schätze, Sie bewegen sich damit bis zu einem gewissen Grad in die Kategorie der Korrektur Ihrer eigenen Hausaufgaben, nicht wahr? Wenn Sie sowohl der CISO als auch der Vorstand sind, der die Arbeit des CISO überprüft, besteht möglicherweise trotzdem ein kleiner Konflikt.
Richard Starnes: Ich empfehle grundsätzlich, dass Vorstände über einen anderen CISO als den CISO verfügen, der sich mit Cybersicherheit und/oder Cybersicherheitsrisiken auskennt, da jemand diese Hausaufgaben überprüfen muss.
Emily Wearmouth: Ja. Das klingt, als ob es Sinn macht. Homaira, gibt es ... Ob es nun Ihre persönliche Erfahrung ist oder die von Leuten, die Sie in einige der Vorstände, in denen Sie tätig sind, wechseln sahen: Gibt es Personen mit einem speziellen Hintergrund im Bereich Cybersicherheit? Möglicherweise in einer ganz anderen Organisation als dem Vorstand, in dem sie sitzen möchten. Und haben Sie eine Vorstellung davon, welche Fähigkeiten sie zusätzlich zu ihren Qualifikationen im Bereich Cybersicherheit erworben haben, um ihren Sitz im Vorstand dieses Unternehmens zu rechtfertigen? Sollten sie sich zum Beispiel sofort neue Fähigkeiten im Finanzbereich aneignen?
Homaira Akbari: Ja. Ich muss sagen, es gab Fälle, in denen für diese Person die Zugehörigkeit zum Cybersicherheits-Ökosystem der wichtigste Teil ihrer Karriere war. Aber ich habe es bereits gesagt: Ihr Wirkungsbereich ist viel umfassender. Und häufig gilt übrigens: Auch für alle, die Vorstandsmitglied werden möchten, gilt: Wenn Sie die erforderlichen Fähigkeiten für eine Vorstandsposition erwerben möchten, können Sie mit kleineren Vorständen beginnen, insbesondere mit privaten, nicht börsennotierten oder risikokapitalfinanzierten Vorständen. Und in diesen Gremien hätten Sie beispielsweise, wenn das Unternehmen risikokapitalfinanziert ist und es sich um ein Cyber-Unternehmen handelt, sogar als CISO die Möglichkeit, im Vorstand zu sitzen.
Homaira Akbari: Und das gibt Ihnen, dieser Anfang gibt Ihnen einen Vorgeschmack und die Funktionen, die hohen Funktionen, und Sie lernen. Ich würde das also auf jeden Fall empfehlen. Aber noch einmal: Für börsennotierte Unternehmen wird der Wettbewerb immer härter und man muss über die erforderlichen Kenntnisse und Erfahrungen in der 15-Punkte-Skill-Matrix verfügen. Wahrscheinlich müssen Sie die Häkchen bei 10 bis 12 setzen, um zu diesem börsennotierten Unternehmen zu gehören. Und abgesehen von Rasse, Geschlecht und der Vielfalt der Erfahrungen und Hintergründe stellt sich die Frage: Waren Sie schon einmal CEO? Waren Sie für Gewinn und Verlust verantwortlich? Und entweder man hat es oder man hat es nicht. Wenn Sie es nicht haben, können Sie es nicht mit einem Häkchen versehen. Es gibt also einige schwierige Fragen, die Sie beantworten müssen, und es braucht Zeit, um dorthin zu gelangen. Deshalb waren ursprünglich oder vor Jahren die meisten Vorstandsmitglieder viel ältere Leute, weil sie im Laufe ihrer Karriere einfach viele unterschiedliche Dinge getan hatten und diese Verantwortlichkeiten oder die Kompetenzmatrix hätten abhaken können.
Richard Starnes: Wir im Vereinigten Königreich haben Gouverneure. Sie ähneln in mancher Hinsicht den Schulbehörden in den USA, aber nicht in jeder. Man nennt es zwar Gouverneursprogramm oder Gouverneursrat, aber es handelt sich um eine Position, die nicht der Geschäftsführung angehört. Dies ist ein guter Ort, um zu erfahren, wie Vorstände arbeiten und Vorstandsmitglieder zu finden, die schon länger dabei sind. Von ihnen können Sie ein gewisses Maß an Input und Anleitung bekommen, um zu lernen, wie diese gesamten Prozesse funktionieren, wie Unternehmensführung funktioniert (falls Sie das noch nicht wissen), und um derartige Beiträge zu leisten. Im Rahmen des Cyber Governors Program stehen wir insbesondere im Bereich der Cybersicherheit in Großbritannien vor einigen Herausforderungen. Und sie versuchen, Leute mit Cybersicherheits- und IT-Erfahrung in diese Gremien zu holen, um den Schulen bei der Bewältigung dieser Dinge zu helfen. Aber das ist eine gute Möglichkeit für Sie, etwas zu erreichen, denn Sie sammeln Erfahrung im Vorstand und die Vorstände profitieren von Ihrer Erfahrung aus IT-Sicht. Und Sie bekommen etwas und geben gleichzeitig etwas zurück.
Emily Wearmouth: Das klingt nach einer hervorragenden Möglichkeit, einige der von Homaira angesprochenen Kriterien zu erfüllen und zu zeigen, dass Sie Erfahrung in bestimmten Arten von umfassenderen Rollen haben. Aber ich wollte auch herausfinden, wie man vorgeht, um solche Rollen zu finden. Vor einigen Wochen wurde ich auf eine Website aufmerksam, die ein bisschen wie eine Jobbörse funktioniert, allerdings für Positionen als nicht geschäftsführende Direktoren/-innen. Ich habe es überflogen und festgestellt, dass einige faszinierende Dinge aufgelistet sind. Ist das die Hauptmethode, mit der Vorstände neue nicht geschäftsführende Direktoren finden, oder ist es eher ein leises Schulterklopfen von jemandem, der jemanden kennt? Wie werden anhand dieser Rollen tatsächlich Kandidaten identifiziert und wie finden Kandidaten Rollen?
Homaira Akbari: Sicher. Es gibt zahlreiche Möglichkeiten. Es gibt beispielsweise etwas, das BoardProspects heißt. Ich glaube, Sie könnten auf boardprospects.com gehen ... Es gibt... Ich kenne einige Netzwerke, die ausschließlich aus Frauen bestehen. Manchmal muss man bereits einem Vorstand angehören, um Zugang zu diesen Netzwerken zu erhalten. Ich glaube, dass es in jedem Land Direktoreninstitute gibt. In den USA ist dies beispielsweise die National Association for Corporate Directors. Auch wenn Sie kein Unternehmensleiter sind, können Sie Mitglied werden und an deren Veranstaltungen teilnehmen und neue Leute kennenlernen. Es gibt also eine Reihe solcher Situationen.
Homaira Akbari: Auch im Bereich Cybersicherheit gibt es zahlreiche Netzwerke, denen Sie beitreten können. Wie ich bereits sagte, besteht eine Möglichkeit zum Lernen auch darin, Vorstandsmitglied eines privaten Unternehmens zu werden, eines kleinen privaten Unternehmens. Das heißt, wenn Sie Beziehungen zu Risikokapitalgebern oder Private Equity-Gesellschaften haben, können Sie diese zu Ihrem Vorteil nutzen. Aber es steht außer Frage, dass Sie Netzwerke aufbauen müssen. Wenn Sie meinen, Sie könnten einfach dasitzen, eine Website aufrufen und sich bewerben, ist das etwas schwieriger, als, würde ich sagen, eine Anstellung zu finden.
Richard Starnes: Noch etwas müssen Sie bedenken: In mancher Hinsicht unterscheidet sich dies nicht von der Jobsuche. Und nur weil ein Vorstand Sie aufnehmen möchte, müssen Sie sich darüber im Klaren sein, dass Sie auch wirklich in diesem Vorstand sein wollen. Insbesondere wenn Sie sich zum ersten Mal damit befassen, können Sie nicht einfach sagen: „Ich wurde gefragt, also ja.“ Sie müssen sicherstellen, dass die Person gut passt, genau wie bei einem Job. Und zwar im Hinblick darauf, was das Unternehmen tut, wie hoch der Reifegrad des Unternehmens im Hinblick auf die Unternehmensführung im Besonderen ist. Und das sind die Dinge, die Sie unbedingt auch berücksichtigen müssen.
Emily Wearmouth: Jetzt möchte ich das Gespräch ein wenig auf den Kopf stellen. Wir haben darüber gesprochen, welchen Beitrag Führungskräfte im Bereich Cybersicherheit in eine Vorstandsrolle leisten können. Jetzt möchte ich kurz darauf eingehen, denn ich habe Sie beide in der Vergangenheit über Meinungen zu den Kenntnissen im Bereich Cybersicherheit sprechen hören, die bei den erweiterten Vorstandsmitgliedern, also bei Leuten ohne Cybersicherheitshintergrund, bereits vorhanden sind oder nicht. Um gleich zu Beginn eine sehr binäre Frage zu stellen: Ist das Wissen über Cybersicherheit in Vorständen im Allgemeinen gut genug?
Homaira Akbari: Ein paar Dinge. Sie müssen sich darüber im Klaren sein, dass viele Vorstandsmitglieder sich nicht nur nicht mit Cybersicherheit auskennen, sondern auch nicht brauchen … Gerade die heutigen Vorstandsmitglieder verfügen nicht über einen guten technischen Hintergrund, weil sie ihre Ausbildung abgeschlossen haben und nicht einmal … Als sie beispielsweise auf die Business School gingen, wurde Cybersicherheit nicht gelehrt. Es war kein Kurs. Heute wird an Business Schools Cybersicherheit und digitale Transformation gelehrt. Für sie bleibt es also ein ziemlich abstraktes Thema. Und ich glaube, eines der Dinge, die wir häufig gesehen haben, ist, dass sie das Konzept der Tatsache nicht verstehen, dass man niemals hundertprozentig sicher ist, egal, wie viel Geld man ausgibt. Das müssen Sie ihnen also erklären. Und weil Sie es erklären müssen, werden Sie verletzt. Daher muss Ihr Unternehmen auf einen Datendiebstahl vorbereitet sein und wissen, wie es einen Datendiebstahl erkennt, wie es ihn eindämmt, wie es darauf reagiert und wie es sich davon erholt.
Homaira Akbari: Und das ist etwas, was sie nicht verstehen, noch wissen sie, welche Investitionen dafür erforderlich sind. Schutz, das verstehen sie besser. Okay. Ich baue Mauern und schütze mich. Das Gleiche gilt im Cyberspace. Letztes Jahr habe ich ein Buch mit dem Titel „Cyber Savvy Boardroom“ mitveröffentlicht, das wirklich versucht, mentale Modelle für Vorstandsmitglieder bereitzustellen und ihnen die Grundlagen der Cybersicherheit zu vermitteln, damit sie das Wissen verinnerlichen können. Das ist das Schlüsselwort. Sie müssen verinnerlichen können, was Cyber und Cybersicherheit bedeuten und wie Sie sich verteidigen. Sie müssen kein Spezialist sein, aber Sie müssen nur die Konzepte verstehen. Und die Gründe, warum Hacker und Bösewichte es auf jedes Unternehmen abgesehen haben und die Tatsache, dass heutzutage aufgrund von Ransomware jedes Unternehmen ein Ziel ist.
Homaira Akbari: Vor zehn Jahren war das nicht der Fall. Nur wenn Sie in einer bestimmten Branche tätig sind, sei es in der Finanzbranche oder im Gesundheitswesen, werden Sie ins Visier genommen. Der Transport war jedoch weniger wichtig. Sie verfügen nicht über viele interessante Daten. Doch heute, wo man mit Ransomware sogar von Kommunen und gemeinnützigen Organisationen Geld erpressen kann, weil man deren Arbeit stört, ist niemand mehr sicher. Das ist also der Schlüssel. Ich denke also, dass es Weiterbildung ist. Ich denke, es wird weiterhin Wert darauf gelegt. Es gibt sicher kein Ende davon. Aber ich bin sicher, Richard hat ziemlich viel ... Könnte ziemlich viel zu diesem Thema beitragen.
Richard Starnes: Als Antwort auf die Frage: Nein, das tun sie nicht. Aber meine Antwort lautet: Warum sollten sie? Sie sind eigenständige Führungskräfte und in ihren jeweiligen Fachgebieten sehr kompetent. Meine Antwort darauf ist im Allgemeinen, dass die CISOs lernen müssen, mit dem Vorstand in einer Sprache zu sprechen, die dieser versteht. Und das sind die Geschäftsrisiken, die die Vorstände recht gut verstehen. Und genau diese Übersetzung muss von den CISOs vorgenommen werden. Sie wissen nicht, was eine Firewall ist, und ich werde keine 15 Minuten Ihrer Zeit damit verschwenden, Ihnen eine zu erklären, denn das ist Ihnen egal und sollte es auch nicht sein. Aber das ist die Aufgabe einer Firewall. Dadurch werden die Risiken für das Unternehmen gemindert, und aus diesem Grund bestehen sie. Das ist die Art von Sprachwandel, die wir meiner Meinung nach in der CISO-Community durchführen müssen: Wir müssen in der Geschäftssprache sprechen.
Homaira Akbari: Ich stimme Richard voll und ganz zu. Ich denke, diese Sprache … Ich erinnere mich, dass ich mit einer Reihe von Vorstandsmitgliedern bei dieser Veranstaltung war, eine kleine Rede hielt und es anschließend zu einer Debatte kam. Und dann sagte eines der Vorstandsmitglieder zu mir: „Na ja, und sie meinte es wirklich sehr ernst.“ Sie sagte: „Ich glaube, einige dieser Leute sprechen kein Englisch. Wir sollten sie zum Sprachunterricht schicken."
[Gelächter] Homaira Akbari: Und ich dachte, okay. Es trifft genau den Punkt, den Richard gerade angesprochen hat. Sie sagte, dass sie eigentlich kein Englisch sprechen.
[Gelächter] Emily Wearmouth: Das ist ein sehr guter Punkt. Ich frage mich, ob bei solchen Vorfällen die Cybersicherheit plötzlich ganz oben auf der Tagesordnung eines Gremiums steht, weil man sich mitten in einem Vorfall befindet. Und wir haben das sogar schon erlebt, Richard, Sie kennen das, einige Schulen in Großbritannien waren Ransomware-Angriffen ausgesetzt und es wurden Lösegeldforderungen gestellt. Es handelt sich um öffentliche Schulen, die mit staatlichen Geldern finanziert werden. Sie haben nicht das Geld, aber jeder fällt diesen Machenschaften zum Opfer. Wenn solche Vorfälle passieren oder Branchen von Vorfällen erfahren, die in vergleichbaren Organisationen vorkommen, kehrt sich dann das Blatt und der Fokus der Führungsebene gerät plötzlich überproportional auf Cybersicherheit, oder ist das nicht der Fall? Ich versuche mir vorzustellen, wie diese Gespräche im Vorstand ablaufen. Bewegt es sich bei Vorfällen?
Homaira Akbari: Die Antwort ist ja. Wenn sie kein gutes Cyber-Programm hatten und völlig überrascht wurden, dann sind das einige Beispiele, die ich hier nicht näher benennen möchte, vor allem, weil ich in der Branche tätig bin. Aber vielleicht werde ich es tun, Target, Equifax, SolarWinds. Und die Auswirkungen dieser Verstöße waren enorm. Und wenn diese Organisationen nicht vollständig vorbereitet sind und nicht über das vollständige Programm verfügen, entsteht ziemliches Chaos. Und es hatte und hat gravierende Konsequenzen, wie es für alle drei von mir genannten Unternehmen der Fall war.
Richard Starnes: Ich habe vor kurzem einen Artikel zu genau diesem Thema geschrieben und der Grund, warum ich jetzt lächle, ist, dass ich dafür eine Grafik brauchte. Ich habe Dolly gebeten, mir eine Grafik zu schreiben, die zeigt, wie es aussieht, wenn sich ein Vorstand mit einem Cyber-Vorfall befasst. Und es zeichnete mich einen Vorstand, der an einem Tisch saß. Überall flogen Papiere herum. Überall wurde geschrien und gebrüllt, und überall blinkten rote Bildschirme. Meine unmittelbare Reaktion war: Wenn Ihr Board während eines Vorfalls so aussieht, sollten Sie als Erstes Ihren CISO feuern. Sie haben dafür trainiert und wissen dann, wie Sie darauf reagieren müssen. Der Vorstand sollte engagiert sein. Sie sollten mindestens ein Szenario pro Jahr durchspielen, um vollständig zu verstehen, wie diese Dinge funktionieren.
Richard Starnes: Ransomware ist gut und für manche Leute ist es sehr einfach … Ich bin ein ehemaliger Polizist und meine Sicht der Dinge ist: Nein, ich möchte das Lösegeld nicht zahlen, ich möchte diese Leute ins Gefängnis bringen. Aber leider ist es nicht so einfach. Wenn Ihnen als Unternehmen die Möglichkeit genommen wird, Geld zu verdienen oder Ihr Unternehmen aufrechtzuerhalten, Sie Schulden anhäufen und im Minutentakt Kunden verlieren, müssen Sie manchmal das Undenkbare tun, nämlich bezahlen. Es hängt von der jeweiligen Situation ab, aber Sie müssen in der Lage sein, gedanklich bereits in der Situation gewesen zu sein und einige dieser Berechnungen durchgeführt zu haben, um Zeit zu sparen. Und das geschieht durch Dinge wie Szenarien.
Emily Wearmouth: Ja. Das klingt sehr vernünftig. Man sagte immer, aus dem Munde der Kinder entspringt die Wahrheit. Und ich denke, dass man heutzutage aus der Perspektive einer KI-Anfrage eher herausfindet, von welchen Stereotypen sie sich ernährt. Faszinierend. Ich sehe also, dass uns die Zeit davonläuft. Und Homaira muss zu einem Meeting. Ich gehe von einer Vorstandssitzung aus. Ich werde es also hier abschließen. Aber vielen Dank Ihnen beiden für Ihre Zeit. Sie haben den Security Visionaries Podcast gehört. Ich war Ihre Gastgeberin, Emily Wearmouth. Bitte abonnieren Sie den Podcast, falls Sie dies noch nicht getan haben. Mein Co-Moderator, der großartige Max Havey, und ich nehmen alle zwei Wochen neue Folgen auf. Wir decken also alle möglichen interessanten Themen ab und es ist für jeden etwas dabei. Vielen Dank, Homaira. Vielen Dank, Richard, dass Sie bei uns sind. Es war toll, Sie hier zu haben.