0:00:00 Emily Wearmouth: Hallo und herzlich willkommen zu einer weiteren Ausgabe des Security Visionaries Podcasts. Ich bin Ihre Gastgeberin, Emily Wearmouth, und heute begrüße ich unseren allerersten Gast aus Brasilien. Herzlich willkommen zur Sendung, Nycholas Szucko. Habe ich das richtig gesagt?
0:00:14 Nycholas Szucko: Das ist richtig. Volltreffer! Vielen Dank. Wir sind so weit voneinander entfernt, aber wir können in Verbindung treten und kommunizieren. Ich bin so froh, heute hier zu sein.
0:00:23 Emily Wearmouth: Lassen Sie mich Sie den Zuhörern vorstellen, damit diese wissen, warum wir Sie eingeladen haben. Nycholas sitzt derzeit in sechs Aufsichtsräten. Sein Lebenslauf umfasst noch viel mehr, aber aktuell sind es sechs. Außerdem ist er stark in Diversity on Boards engagiert, der weltweit größten Organisation für Führungskräfte auf C-Level-Ebene, die in 15 Ländern aktiv ist. Das werden regelmäßige Hörer wissen. Ich finde es immer interessant, die Herkunftsgeschichte unserer Gäste zu erfahren, woher sie kommen und warum wir auf ihren Rat hören sollten. Warum gelten sie als Sicherheitsvisionäre? Und Nicholas, während Ihre berufliche Laufbahn eher im Wirtschaftsbereich angesiedelt war, begannen Sie Ihre Karriere als Systemanalyst. Stimmt das?
0:00:59 Nycholas Szucko: Ich muss Ihnen etwas sagen. Bevor ich Analyst wurde, war ich Musiker. Ich dachte, ich würde Cellistin werden. Ich habe 10 Jahre lang Cello gespielt. Früher habe ich hier in Sao Paulo für die Philharmonie der Minderjährigen bezahlt. Leider kennen wir die Herausforderung, Musiker zu sein, insbesondere im Bereich der klassischen Musik, und meinen Weg, in meiner Karriere erfolgreich zu sein und Geld für meine Familie zu verdienen. Ich war zwar Computerprogrammierer, aber die Musik hat mir sehr geholfen, in meiner Karriere erfolgreich zu sein, zum Beispiel die Teamfähigkeit, die Kommunikation mit den anderen Instrumenten des Orchesters, meiner Gruppe, und wie alle gleichermaßen üben und spielen. Nun, am Ende bist du Teil davon, nur noch Musik zu sein. All diese großartigen Erfahrungen haben mir sehr geholfen, und das Lesen der Dinge, die ich zum Spielen brauche, hat mir geholfen, die logische Computerprogrammierung zu beherrschen. Es war erstaunlich, wie die Dinge in unserem Leben
Laufe der Zeit miteinander
waren. 0:02:01 Emily Wearmouth: Ja. Weißt du, ich habe das schon mal gehört, und wir sind sofort völlig vom Thema abgekommen, aber ich habe schon mal gehört, dass Leute, die sehr gut in Musik sind, oft auch sehr gut in Mathematik sind. Diese Verbindung zwischen dem Lesen von Noten und dem Schreiben von Code leuchtet mir ein. Ich habe keine Ahnung, warum, aber es ergibt Sinn.
0:02:16 Nycholas Szucko: Absolut logisch, ja. Und danach ging ich an die Universität, begann Informatik zu studieren, aber das war mir zu technisch, und so beschloss ich, schon in jungen Jahren Unternehmer zu werden, zusammen mit einem Kommilitonen. Wir haben uns zusammengetan, um unser erstes Unternehmen zu gründen. Damals ging es nicht um Cybersicherheit, denn vor mehr als 20 Jahren war Cybersicherheit kein großes Thema. Zu Beginn meiner Rede sagte ich, dass ich aus einer Zeit stamme, in der die größte Herausforderung im Bereich der Cybersicherheit darin bestand, dass der Posteingang mit Spam überflutet war oder der Computer mit einem Virus infiziert war, der die Computer lahmlegte – nicht mehr und nicht weniger. Und danach entwickelt sich die Cybersicherheit sicherlich noch stark weiter. Auch die Herausforderung. Und ich beginne mit solchen Initiativen, um nicht nur die technische, sondern auch die geschäftliche Seite miteinander zu verbinden. Und wenn ich zurückblicke, denke ich, dass das der Hauptgrund ist. Das liegt daran, dass ich früh in meiner Karriere damit anfange, es zu interpretieren.
0:03:15 Emily Wearmouth: Nun, Sie haben da etwas angesprochen, was ich liebe – den Moment, als wir in die unbeschwerten Zeiten zurückkehrten, als es nur sehr wenige Bedrohungen gab. Aber Cybersicherheit ist heute absolut größer und wichtiger. Da draußen lauern weitaus größere Risiken. Das bedeutet, dass sich Sicherheitsverantwortliche in Unternehmen – wie schon im letzten Jahrzehnt – viel stärker in Geschäftsgesprächen, der obersten Führungsebene und dem Vorstand ausgesetzt sehen, die wissen wollen, was sie tun. Die Risiken, mit denen sie sich befassen, sind dem Vorstand bekannt. Und ich finde es interessant, und worüber wir heute sprechen werden, ist, wie es dazu kommt, dass Menschen, die vielleicht aus einem technischen Bereich kommen oder einfach aus einer Abteilung stammen, die bis zu einem gewissen Grad relativ unauffällig ihre Arbeit verrichten konnte, jetzt im Rampenlicht des Vorstands stehen. Welche zusätzlichen Fähigkeiten benötigen Menschen, um diese Beziehungen zu gestalten und die Erfolge zu erzielen, von denen sie wissen, dass sie darauf hinarbeiten? Und ich werde mich heute in vielen Punkten auf eine Studie stützen, die Ende letzten Jahres veröffentlicht wurde; die Zuhörer können sie gerne nachschlagen. Es heißt „Entscheidende Gespräche“. Und die Forscher haben eine wirklich umfassende Arbeit geleistet. Sie sprachen mit CEOs auf der ganzen Welt und befragten sie eingehend dazu, wie sie mit ihren Technologieverantwortlichen innerhalb ihrer Organisation zusammenarbeiten. Was wollen sie von ihnen, was funktioniert nicht? Und dann gingen sie hin und sprachen mit dem CIO, spielten ihm das Ganze sozusagen vor und erhielten so die Perspektive des CIO. Und dann folgte eine weitere Befragungswelle, bei der sie sich an das Team des CIO wandten und mit Führungskräften auf VP-Ebene sprachen, also mit denjenigen, die sehr praxisnah mit der Infrastruktur zu tun haben, um herauszufinden, wie sichtbar diese Gespräche sind und inwieweit sie in der Lage sind, die Wünsche der Unternehmensleitung zu verstehen und in ihre täglichen Entscheidungen einfließen zu lassen. Das sind also die Hintergrundrecherchen, und es gibt jede Menge Datenpunkte, und ich werde euch, Nycholas, heute einige davon präsentieren und eure Gedanken, Meinungen und Ratschläge dazu einholen, wie wir weiter vorgehen sollten. Meine erste Frage an Sie bezieht sich auf einen Datenpunkt, der mich schockiert hat. 39 % der Führungskräfte in der Technologiebranche berichten, dass sie in wichtigen Entscheidungsprozessen völlig unterschiedlicher Meinung sind als ihr CEO, 39 % berichten von völliger Meinungsverschiedenheit und 31 % berichten von 31 %. Fast ein Drittel ist sich also nicht einmal sicher, ob sie Ihnen sagen könnten, was ihr CEO will. Wie kann also ein Sicherheitsverantwortlicher, wie kann ein CISO diese Abstimmungslücke schließen, ein Verständnis dafür entwickeln, was der CEO will, und dies dann in seine Arbeit einfließen lassen?
0:05:40 Nycholas Szucko: Meiner Ansicht nach dreht sich alles um Kommunikation. So sehr wir uns auch wünschen, dass die Vorstandsebene und die C-Ebene die Sprache der Cybersicherheit verstehen, und selbst die Technologiesprache des CIO und CTO, müssen wir verstehen, dass die Vorstandsebene und die C-Ebene eine Vielzahl von Verantwortlichkeiten und eine volle Agenda für verschiedene Themen haben. Sie haben die fiskalischen und makroökonomischen Fragen, sie haben alle Hände voll zu tun, sie müssen einen Weg finden, Prioritäten zu setzen. Und ja, Cybersicherheit kann eine enorme Wirkung entfalten, aber ein schlecht abgestimmter Vertrag, solche großen Dinge, die überall auf der Welt passieren, können ein Unternehmen wirklich ruinieren. Und wenn wir verstehen, dass es unsere Aufgabe ist, mehr über das Geschäft zu lernen, die Sprache zu lernen, die sie sprechen, dann ist das völlig auf Risiko, Gefährdung und geschäftliche Auswirkungen abgestimmt. Und wir müssen ihnen klarmachen, dass wir ein wichtiger Bestandteil der Strategie sind, um die Geschäftskontinuität zu gewährleisten. Keine Reduzierung der Auswirkungen, Erhöhung des Reifegrads unserer Geschäftstätigkeit und Schutz der Niederlassung. Wir sind die Hüter der Marke, aber wir als technische CISO, CIOs und CTOs müssen einen Schritt voraus sein, vom Business lernen und die Inhalte für sie übersetzen, denn wie ich Ihnen bereits sagte, ist ihr Themenfeld voll von verschiedenen Bereichen und schwer zu durchschauen. Und wenn wir anfangen, über technische Dinge zu sprechen, erzeugen wir eine Kluft, ein Missverständnis und schaffen eine Distanz zwischen Vorstand, C-Level und CISO /CIO.
0:07:17 Emily Wearmouth: Da steckt etwas Interessantes drin, wenn wir über Kommunikation oder diese New Fähigkeiten sprechen, die Führungskräfte erwerben müssen. Der Fokus liegt oft auf dem Sprechen selbst, aber Kommunikation beinhaltet auch sehr viel Zuhören. Ansonsten ist es keine Kommunikation, sondern nur Gerede. Und genau dieser Datenpunkt trifft für mich den Kern der Sache: Es geht nicht nur darum, ob der CEO die Technologie versteht. Darauf kommen wir gleich zurück, aber im Grunde geht es darum, ob der Sicherheitschef den CEO versteht und auf die Bedürfnisse des Unternehmens eingeht. Und ich frage mich, ob es bestimmte Foren oder Umgebungen gibt, in denen sich Sicherheitsverantwortliche aufhalten können, um besser zuzuhören und zu verstehen, was das Unternehmen ihnen wünscht, wenn es ihnen Informationen präsentiert?
0:08:02 Nycholas Szucko: Ja, wir lernen viel über das Reden, aber so wenig über das Zuhören. Für eine erfolgreiche Kommunikation müssen wir sicherstellen, dass die anderen Beteiligten dies verstehen, denn wir müssen die Führungsebene und den Vorstand im Auge behalten. Sie verfügen über viel Erfahrung. Sie haben eine Karriere voller unterschiedlicher Szenarien. Sie können Entscheidungen treffen, aber wir müssen sie über die Indikatoren und das Risiko in diesem Szenario informieren und ihnen so viele Informationen wie möglich zur Verfügung stellen, damit sie eine bessere Entscheidung treffen können. Denn wir dürfen nicht vergessen, dass es sich letztendlich um eine unternehmerische Entscheidung handelt: Investieren oder nicht. Ob das Risiko dadurch verringert wird oder nicht, hängt von der Risikobereitschaft ab. Manchmal müssen Unternehmen, um in diesem Zeitraum mehr Marktanteile zu gewinnen, höhere Risiken eingehen. Das ist für einen solchen Zeitraum seitens des Unternehmens normal. Aber jetzt, wo ich den Markt besitze, muss ich mein Geschäft schützen. Ich werde mehr in Cybersicherheit investieren, und wenn ich meine Rede für die CISOs oder CIOs halte, versuche ich, ihnen einige Techniken zu vermitteln, die sie lernen müssen, um in dieser Art von Gespräch effizienter zu werden. Der Podcast, den ich habe, heißt „Vorstand und Vorstandsmitglieder mit dem CSO der Bradesco Bank“. Er ist ein unglaublicher Profi, Glauco Sampaio. Er ist ein weiterer Typ, der sich gerade auf das Vorstandsmitglied konzentriert, worüber wir sprechen. Welche New Fähigkeiten müssen CSOs und CIOs besitzen? Es geht ganz sicher um Kommunikation. Geschichtenerzählen. Wir müssen einen Weg finden, die Geschichte so zu erzählen, dass sie nachvollziehbar und verständlich ist. Letztendlich brauchen wir alle gewisse Verkaufsfähigkeiten. Ja, wir müssen uns als Profi präsentieren. Wir müssen das Projekt dem Vorstand schmackhaft machen, damit es genehmigt wird. Das ist sehr wichtig. Der finanzielle Aspekt ist ebenfalls sehr wichtig, denn wenn wir es so präsentieren, ist es sehr schwierig zu sagen, dass Cybersicherheit einen ROI generieren wird. Aber ja, wir können den Preis der Aktienoption schützen. Ja, wir können dazu beitragen, das Risiko zu verringern, denn die Auswirkungen belaufen sich derzeit auf 20 Millionen, aber wir können sie auf 10 Millionen reduzieren. Diese Art von Gespräch, oder die Art und Weise, wie wir den Jahreshaushalt präsentieren, ist wichtig, um die Chancen auf eine Genehmigung des Haushalts zu erhöhen und Ihr Projekt zu realisieren. Kommunikations-, Erzähl- und Verkaufsfähigkeiten. Und ja, lernen Sie ein wenig über Finanzen
das wird Ihnen in Ihrer Karriere helfen und zu Ihrem Erfolg
. 0:10:37 Emily Wearmouth: Etwas anderes, das bei der Recherche herauskam, und ich werde hier sowohl die britische als auch die amerikanische Aussprache wiedergeben. Die CEOs wollten einen vertrauenswürdigen Stellvertreter des amerikanischen Zuhörers, sie wollen einen vertrauenswürdigen Stellvertreter. Sie sprachen von jemandem, der die Sprache der Wirtschaft spricht, jemandem, mit dem sie zusammenarbeiten können. Aber dieses vertraute Wort war mir wirklich wichtig. Und ich frage mich, wie man vom Leutnant zum vertrauenswürdigen Leutnant wird? Wie schafft man es, sich beim CEO zu profilieren und dessen Vertrauen aufzubauen?
0:11:04 Nycholas Szucko: Meiner Erfahrung nach muss man sich in eine Position begeben, die man auch ausfüllen will. Ja, wir werden uns um die Infrastruktur kümmern, ja, wir werden uns um die unangenehmen Aufgaben im Bereich der Cybersicherheit kümmern, nicht nur um die Technologie, sondern wir werden auch versuchen, alle aufzuklären. Positionieren Sie sich als Kommunikator und bauen Sie Verbindungen zu anderen Bereichen auf. Und sobald Sie für jemanden von der C-Ebene zur Verfügung stehen, bauen Sie mit Sicherheit diese vertrauensvolle Beraterbeziehung auf. Beim nächsten Mal wird er Gutes über dich erzählen. Und der Zeit- und Energieaufwand, den wir für dieses erste Projekt betreiben, wird sich beim nächsten Projekt verringern, vielleicht nach einem Jahr, nach zwei Jahren. Sich Zeit zu nehmen, ist nicht von einem Tag auf den anderen. Bieten Sie ihnen Dienstleistungen an, kommunizieren Sie in ihrer Sprache und handeln Sie proaktiv. Manchmal, wenn etwas in den Nachrichten auftaucht, übersetzen Sie deren Sprache, die Sprache Ihres Unternehmens, und teilen Sie es als Schulungsmaßnahme, als Weiterbildungsmaßnahme für die Führungskräfte. Und nach vielleicht ein, zwei Jahren bekommen Sie die Gelegenheit, dem Vorstand eine 10-minütige Präsentation zu halten. Das wird fantastisch. Sie müssen viel üben, denn wenn Sie vor dem Vorstand präsentieren, müssen Sie konzentriert sein, Zahlen und Vergleichswerte ermitteln und das alles in nur 10 Minuten schaffen. Das ist eine große Herausforderung. Sie beginnen mit Überwachung, Service, Hilfeleistung und Unterstützung der Operation, und mit Sicherheit werden sie Ihre Position im Szenario erkennen und die Möglichkeit erhalten, diese dem Vorstand vorzustellen.
0:12:38 Emily Wearmouth: Bevor ich die nächste Frage stelle, möchte ich nur das Offensichtliche ansprechen. Hier in Großbritannien ist jetzt die Sonne herausgekommen. Das war bisher nicht der Fall, seit wir im Herbst mit den Videoaufnahmen für unsere Episoden begonnen haben. Wir hatten also nicht wirklich damit gerechnet, was passieren würde, wenn der Sommer in Großbritannien Einzug hielte. Ich entschuldige mich also, falls ich an diesem schönen Frühlingstag, wenn die Sonne hinter den Wolken hervorkommt, plötzlich sehr, sehr hell erstrahle. Was mir an der Studie außerdem aufgefallen ist, war die große Bandbreite an Antworten der CEOs hinsichtlich ihrer Risikobereitschaft. Und Sie haben es vorhin schon angedeutet: Die Welt hat sich sehr verändert. Und obwohl wir noch vor fünf Jahren dachten, Risiko sei schlecht, wollen wir es heute vermeiden. Doch im heutigen Geschäftsleben kann man Risiken nicht vermeiden, und gerade im Risiko liegen die Gewinne. Manche CEOs gehen also deutlich lieber Risiken ein als andere. Und ich frage mich, ob Sie Ratschläge haben, wie Sicherheitsverantwortliche feststellen können, welche Risikobereitschaft ihr CEO hat. Denn es handelt sich nicht um etwas, das für alle Bereiche einheitlich ist. Jeder CEO ist anders. Wie psychoanalysiert man seinen CEO, um dessen Risikobereitschaft zu ermitteln?
0:13:48 Nycholas Szucko: Wir müssen viel recherchieren, noch bevor wir das erste Treffen haben. Wir studieren die bisherigen Erfahrungen dieses CEOs oder der Vorstandsmitglieder. Etwas, das ich seit Kurzem mache, ist, dass ich, wenn ich die Vorstandsmitglieder, die während einer Präsentation vor mir stehen müssen, ein paar Rollenspiele mit der KI durchführe. Ich erstelle Personas für jedes Vorstandsmitglied und führe Interaktionen durch, um die Reaktionen zu verstehen und für das nächste Treffen gut vorbereitet zu sein. Es ist ein wirklich gutes Gerät, das jeder jetzt nutzen kann und mit dem man sich gut vorbereiten kann.
0:14:29 Emily Wearmouth: Wie machst du das, Nicola? Bei dem einen? Entwickeln Sie kleine KI-Versionen einzelner Führungskräfte, mit denen Sie zusammenarbeiten, oder streben Sie eher ein generisches Verständnis eines CEO oder CFO durch KI-Systeme an?
0:14:42 Nycholas Szucko: Genau. Und sie können mir den besten Weg zur Kommunikation aufzeigen oder mir ein bestimmtes Wort nennen, das die nötige Aufmerksamkeit erregt, oder mir die Herangehensweise empfehlen, die ich von Anfang an brauche, um erfolgreich zu sein. Wenn ich mich so vorbereite, fühle ich mich vor den Vorstandsmitgliedern wohler, denn ich muss Ihnen sagen, selbst mit meiner großen Erfahrung bin ich vor wichtigen Besprechungen immer noch etwas nervös. Je besser ich mich vorbereite, desto besser wird meine Präsentation, mein Meeting. Und damit werde ich mich wohler fühlen. Und ich helfe uns zunächst dabei, das Profil dieser Beteiligung und den Geschäftsbereich, in dem dieses Unternehmen tätig ist, zu verstehen. Nur ein Beispiel: Wenn wir mit Startups sprechen, stellen wir fest, dass Startups agil sind und daher mehr Risiken eingehen können. Nein, und sie sind, wie soll ich sagen, aufgrund des Profils des Unternehmens oder vielleicht des Alters der Führungskräfte dazu bereit. Doch in der Branche selbst sieht die Sache ganz anders aus. Aber ja, im Moment nicht. Die Cyberangriffe können die Produktionsanlagen erreichen und einen enormen Einfluss auf den Produktionsprozess der Anlage haben. Nein, aber wir verstehen, dass sie risikoscheuer sind. Nein. Wie präsentieren Sie Ihr Angebot jemandem, der eher risikoscheu ist? Mein Vorschlag wäre, zunächst den professionellen Rückblick auf seine Karriere zu verstehen. Wir können sehen, dass diese Ebenen der Rede in Podcast-Interviews diese Erkenntnisse für eine bessere Kommunikation gewinnen. Und zweitens, verstehen Sie die Vertikale, verstehen Sie, wie viel Risiko die Vertikale bereit ist einzugehen. Sie werden in der Kommunikation und im Meeting sehr erfolgreich sein.
0:16:31 Emily Wearmouth: Ich möchte jetzt etwas genauer auf die Details eingehen, denn wir wissen, dass CEOs nicht zu viele Details über die Vorgänge in ihrem Technologie-Stack wissen wollen, sondern dass ihre Führungskräfte in der Lage sein sollen, die Dinge zusammenzufassen und die für sie relevanten Kennzahlen zu präsentieren. Was sich jedoch in der gesamten Studie einig war, war die Frustration der CEOs über diese Blackbox der Technologie, wo sie früher vielleicht noch die physischen Racks in einem Rechenzentrum sehen konnten und das ihnen sinnvoller erschien. Jetzt befindet sich alles in der Cloud, alles ist etwas virtueller geworden, und sie haben wirklich zu kämpfen und suchen nach ihren Sicherheitsverantwortlichen, die ihnen helfen können, die Situation etwas genauer zu erklären. Dies wurde auch in einer Studie auf VP-Ebene bestätigt, in der 61 % der Tech-VPs angaben, dass ihr CEO über diesen Mangel an Infrastrukturtransparenz frustriert sei. Und mich würde Ihre Meinung dazu interessieren? Und wie weit sollten Sicherheits- und Technologieverantwortliche gehen, um zu erklären, was im Inneren der Blackbox vor sich geht?
0:17:27 Nycholas Szucko: Ich denke, dass wir trotz der vielen Technologien, die uns heute zur Verfügung stehen, einen anderen Ansatz brauchen. Oft nutze ich Whiteboards, um allgemeine Erklärungen abzugeben, ganz grundlegende Aspekte der Architektur zu erläutern, einfach die wichtigsten Dinge. Und ich nutze es immer täglich. Beispiel, nur ein Beispiel, doppelte Authentifizierung, doppelte Authentifizierung. Es ist ein Spind, zwei Spinde. Und wenn wir von Schutzschichten sprechen, dann haben wir unsere eigene Mauer und die Mauer zur Straße hin, die sich alle innerhalb unserer Haustür befinden, und den Tresor im Inneren des Hauses. Versuchen Sie, solche Beispiele anzuführen. Es wird nicht zu sehr ins Detail gehen, aber machen Sie das Whiteboard, machen Sie diese korrelierten Beispiele, denn das wird ihnen verdeutlichen, dass diese Art von Architektur und sogar die Szenarien versuchen, sich auf die Geschäftsseite zu übertragen. Nur ein Beispiel: Als ich in der Branche gearbeitet habe, hatten sie die gesamte Ausrüstung, die sie für den Zugang zum Werk benötigten, den Helm und alles andere. Das müssen wir tun, denn unsere Daten sind dieselben, aber die Sprache der Branche ist völlig anders als die des Finanzbereichs. Versuchen Sie nun, diese Szenarien miteinander in Beziehung zu setzen, denn so können Sie es Ihrem Publikum leichter erklären und es versteht Sie besser. Und wenn man erkennt, dass sie zunehmen, dann ist die Anzahl der Fragen oder die Frage selbst stärker damit verbunden. Was Sie damit erklären wollen, ist, wann Sie merken, dass Ihnen diese Kommunikation gelingt. Wenn Sie in ein Meeting kommen, nur reden und ohne Fragen oder Interaktion
gehen, wird es kein gutes Meeting sein und Sie werden vielleicht nicht wieder eingeladen
0:19:14 Emily Wearmouth: Ja, man verlässt den Raum vielleicht erleichtert. Das ist mir gelungen. Niemand hatte Fragen. Aber eigentlich ist es ein Hinweis darauf, dass sie möglicherweise nicht auf das eingegangen sind, was Sie gesagt haben, und Fragen sind oft eine gute Sache.
0:19:25 Nycholas Szucko: Genau.
0:19:26 Emily Wearmouth: Ich möchte über agentenbasierte KI sprechen. Ich glaube, es gab da eine Statistik von Gartner, ich hab sie hier, die besagt, dass bis 2028 15 % der täglichen Geschäftsentscheidungen autonom mithilfe von agentenbasierter KI getroffen werden. Da bis 2028 nur zwei Jahre vergehen, sind 15 % der Geschäftsentscheidungen schon eine beträchtliche Anzahl, die von Maschinen statt von Menschen getroffen werden. Und ich habe mich gefragt, ob dieser Aufstieg der handlungsfähigen Belegschaft, ob Sie sehen, dass er die Art und Weise verändert, wie Vorstände IT-Leiter betrachten, ob sie diese eher wie Personalleiter sehen? Verändert sich ihre Rolle in irgendeiner Weise, weil sie nun in gewisser Weise als die Herren dieser New Arbeitswelt angesehen werden?
0:20:04 Nycholas Szucko: Ja. Ein Beispiel, das ich einem Einzelhandelsunternehmen nannte: Können Sie sich vorstellen, dass Ihre Einkaufsabteilung nur aus KI-Agenten besteht, von denen jeder seine eigene Identität und seine eigene Kreditkarte hat, um Entscheidungen treffen und Transaktionen abschließen zu können? Und wenn wir das im ersten Gespräch ansprechen, sagen sie: Nein, das ist unmöglich. Nein, das ist jetzt schon möglich. Und Sie werden die Kosten für zu viele im Beschaffungsprozess reduzieren. Ja, zu Beginn müssen wir bedenken, dass wir die Investitionen im ersten Jahr erhöhen müssen, da die Investitionen den Ertrag übersteigen. Wir müssen in Cybersicherheit, Datenschutz und das Projekt zur Implementierung dieser Art von KI-Abteilung für Sie investieren. Aber danach werden Sie staunen, wie produktiv diese Abteilung ist und welche Erkenntnisse sie Ihrem Unternehmen liefern wird. Wenn wir über diese Art von Ansatz sprechen, können der CISO und der CIO eine sehr wichtige Rolle spielen, indem sie helfen, die Technologie tiefgehend zu verstehen und sie in die Geschäftsprozesse zu übersetzen. Sie sind es aber auch, die das Projekt leiten und dabei eng mit dem Einkaufsleiter zusammenarbeiten. Weil der Einkaufsleiter alles über die Abteilung, den Prozess und alles andere weiß. Und der CIO kann aufzeigen
wie Technologie bei diesen Prozessen im Tagesgeschäft helfen kann und wie man eine wirklich gute, wie soll ich sagen, auf das Geschäft abgestimmte Teamarbeit ermöglichen
. 0:21:35 Emily Wearmouth: Ja, Teamwork wie bei dem Orchester, von dem du am Anfang gesprochen hast.
0:21:38 Nycholas Szucko: Oh, gute Idee.
0:21:43 Emily Wearmouth: Alles klar. Wozu wollte ich Sie heute sonst noch ausfragen? Oh, hier ist einer. Eine Frustrationsquelle für die Tech-Teams innerhalb der Forschung war, dass sie viel zu spät in den strategischen Planungsprozess einbezogen werden, sodass Entscheidungen bereits getroffen wurden, sogar innerhalb der Geschäftsbereiche im Zusammenhang mit großen KI-Initiativen oder der Einführung New Cloud-Anbieter, sodass sie immer hinterherhinken. Und ich glaube, 63 % der IT-Führungskräfte gaben an, sich von den strategischen Gesprächen, die die IT-Entscheidungen aktiv prägen, völlig ausgeschlossen zu fühlen. Wie können sich Menschen viel früher in diese Gespräche einbringen? Wie gelingt der Übergang von einer reaktiven zu einer eher beratenden Vorgehensweise im Geschäftsleben?
0:22:28 Nycholas Szucko: Erinnern Sie sich an unsere früheren Gespräche, in denen es darum ging, die Dienstleistungen der anderen Person, der anderen Abteilung, anzubieten? Nein, wir müssen proaktiv sein, denn das wird sich nicht von der Nacht zum Tag ändern. Es wird nichts Erzwungenes sein. Jetzt müssen Sie Cybersicherheit für die Zukunft miteinbeziehen. Und das ist schwierig. Seien Sie proaktiv, vereinbaren Sie ein Treffen, das erste Treffen dient lediglich dazu, die Abteilung kennenzulernen. Zweitens, um die Bedürfnisse zu verstehen. Drittens, um einen intensiveren Dialog über die Möglichkeiten zu führen. Und diese Person wird verstehen, dass Sie nicht da sind, um die Projekte zu blockieren, denn erinnern Sie sich an viele CIOs und CISOs aus der Vergangenheit – genau diese Herangehensweise hatten sie. Du wirst das Produkt nicht auf den Markt bringen, das geht einfach nicht. Man muss als Partner darauf ausgerichtet sein, das Geschäft und das New Produkt zu ermöglichen, aber gleichzeitig auch das Risiko und die möglichen Auswirkungen zu teilen. Und die endgültige Entscheidung, daran sollten Sie sich erinnern, ist nicht Ihre Entscheidung, sondern eine unternehmerische Entscheidung. Wem gehört das Produkt? Der CEO, der das Unternehmen leitet. Sie werden ein wirklich guter Aligner sein, wenn Sie so viele Informationen wie möglich bereitstellen können. Hilfe bei diesem Bildungsprozess, um von Anfang an dabei sein zu können. Das wird Zeit brauchen, aber du musst jetzt sofort damit anfangen. Und ich erinnere mich an einen Fall bei einem großen Finanzunternehmen hier in Brasilien, bei dem es ihm gelang, wie soll ich sagen, jeweils eine Person aus dem Cybersicherheitsteam in jede Einheit des Unternehmens einzuschleusen. Aber ja, die Person, die in das Cybersicherheitssystem eingeschleust wurde, war nicht die technisch versierteste Person, sondern jemand mit besseren Kommunikations- und Verhandlungsfähigkeiten. Verhandlungsgeschick ist eine weitere Fähigkeit
die
jeden sehr wichtig ist. 0:24:24 Emily Wearmouth: Das ist interessant, denn wenn man bedenkt, wie große Organisationen aufgebaut sind, hat das HR-Team sehr oft innerhalb der Abteilung einen Geschäftspartner, der mit anderen Geschäftsbereichen verbunden ist, und das Finanzteam hat beispielsweise Geschäftspartner, die mit dem Marketing verbunden sind. Aber das Tech-Team pflegt in den größten Organisationen eher selten eine Geschäftspartnerschaft, indem es alle anderen Teams durchdringt und direkt mit ihnen zusammenarbeitet
um Projekte frühzeitig zu erkennen und von Anfang an
beeinflussen. 0:25:01 Nycholas Szucko: Genau. Ich finde, das ist ein wirklich sehr guter Ansatz. Und der zweite Punkt ist, dass der Bildungsprozess auf das gesamte Unternehmen ausgeweitet wird. Es reicht nicht, dass Seminare und Referenten nur im November, dem Monat der Cybersicherheit, stattfinden. Man muss einen Weg finden, das Thema monatlich zu besprechen. Nein, nur ein Beispiel. Wenn wir in einer Branche arbeiten, haben sie eine Minute Zeit für die Sicherheit. Wenn der Werksleiter die Besprechung eröffnet, sagt er etwas. Leider passieren Zwischenfälle nun einmal. Aus diesem Grund ist der New Prozess bzw. die neue Vorgehensweise dieser New Prozess. In den folgenden Wochen wird es ein Training geben. Alle müssen anwesend sein, zu Ihrem eigenen Schutz und zum Wohle aller Anwesenden. Warum Sie nicht eine Minute für Cybersicherheit haben können. Wir brauchen keine Sicherheit, wir brauchen auch Schutz. Aber man muss diese Dynamik verstehen und versuchen, daran teilzuhaben oder sie abzumildern. Wenden Sie dieselbe Methode an, denn sie funktioniert bereits. Man muss nicht alles neu erfinden.
0:26:07 Emily Wearmouth: Ich möchte über Folgendes sprechen: Hier nennen wir sie Pflaster, Band-Aids. Ich weiß nicht, wie das portugiesische Wort für Pflaster oder Verband heißt, aber genau darüber werden wir als Nächstes sprechen.
0:26:16 Nycholas Szucko: Pflaster hat für uns Resonanz.
0:26:18 Emily Wearmouth: Ein Pflaster hilft. Okay, wir werden über Pflaster sprechen. Die Studie ergab, dass bei Technologiekäufen häufig nur provisorische Lösungen zum Einsatz kommen, und zwar genau deshalb, weil es auf Führungsebene an der nötigen Unterstützung für strategischere Veränderungen mangelt, von denen jeder weiß, dass sie notwendig sind. Jeder weiß, dass diese Notlösungen nur kurzfristige Maßnahmen sind, die versuchen, ein Problem zu beheben, aber möglicherweise später ein anderes schaffen. Die CIO-Studie ergab, dass 36 % von ihnen, also ein Drittel, der Meinung waren, dass ihr Unternehmen zwar in die IT-Infrastruktur investierte, dies aber eher zu Flicklösungen als zu grundlegenden architektonischen Verbesserungen führte. Und ich frage mich, ob Sie einen Rat haben, wie eine Führungskraft dazu beitragen kann, diese Investition von „Hier ist ein Problem, und wir werden es lösen“ zu „Halten Sie mich an der Hand, ich werde Sie durch etwas führen, das Ihnen vielleicht ziemlich beängstigend erscheinen mag, aber wir werden eine große, erwachsene Modernisierung durchführen, damit wir in Zukunft weniger Flickwerk benötigen“ zu lenken. Wie ändert man dieses Gespräch?
0:27:18 Nycholas Szucko: Nur ein Beispiel aus meiner Karriere: Ich habe bei einem großen Cloud-Anbieter gearbeitet. Ich habe ein Jahr vor der Pandemie damit angefangen, und als die Pandemie ausbrach, mussten alle am nächsten Tag in die Cloud wechseln. Und wenn sie sich für den Wechsel in die Cloud entscheiden, führen sie diesen Wechsel unverändert durch. Genauso wie es Flugzeuge in meinem Rechenzentrum gibt, wechsle ich in die Cloud. Es ist nicht nur aus Sicht der Cybersicherheit eine Katastrophe, weil die Angriffsfläche viel größer ist. Aus einem kleinen Problem wurde ein riesiges Problem. Aber der Verbrauch ist enorm, denn wenn Sie so arbeiten wie in unserem Rechenzentrum, wird die Rechnung am Ende des Monats gewaltig sein. Es war das erste Mal, dass ich mit einer solchen Situation konfrontiert war. Wenn man als Unternehmen von Anfang an in der Cloud tätig ist, ist das meiner Meinung nach einfach, weil man alle Vorteile nutzen kann. Wir fangen an, die Cloud, die Container und alles andere zu programmieren. Wir müssen aber bedenken, dass viele dieser Unternehmen aus dem traditionellen Geschäftsfeld stammen. Ja, sie haben einen Teil ihres Geschäfts in der Cloud, aber sie haben auch viel Altlasten. Diesen Vorschlag müssen wir in Teilschritte aufteilen, denn er wird nicht von heute auf morgen alles lösen. Nein, als Erstes würde ich vorschlagen, einen Plan für die verschiedenen Ebenen der Cybersicherheit zu erstellen, die Sie im gesamten Unternehmen implementiert haben. Die Zahlen, die ich in der Vergangenheit gesehen habe, bezogen sich auf die großen Unternehmen. Diese verfügen über mindestens 70 Produkte zum Schutz des Unternehmens und rund 30 Anbieter, die diesen Prozess unterstützen. Wir haben jetzt die Technologie, und genau deshalb können wir keinen Plattformansatz für die siebzig Akteure im Bereich Cybersicherheit verfolgen. Vielleicht sind es 30 gute, vielleicht 20.
0:29:06 Nycholas Szucko: Und mit diesem Plattformansatz können Sie mit dem Onboarding in dieser New Architektur beginnen, mit dem gesamten Prozess, den Produkten. Und bitte verstehen Sie, dass sich etwa 5 % der Technologie in Ihrem Rechenzentrum auf einem kleinen Computer befinden werden, den Sie nicht aktualisieren können. Aber es wird in einem abgedunkelten Raum stattfinden, der stark überwacht wird, um zu verhindern, dass jemand hineinkommt, und es gibt keinerlei Kontakt zum Internet. Aber es ist ein Projekt, bei dem man sagen muss: Wir sind da. Das Projekt soll in drei Jahren so weit sein, dass es das Risiko reduziert, die Effizienz steigert und eine gewisse Konsolidierung anstrebt. Denn denken Sie daran: Wenn Sie 70 Produkte für Cybersicherheit einsetzen, entstehen viele Datensilos. Es ist unmöglich, alles einheitlich zu vernetzen und einen Vorfall bei zu vielen Ereignissen zu erkennen.
0:29:58 Emily Wearmouth: Ja. Und ich vermute, genau dann gerät man in eine Fachkräftekrise, weil man für jedes Element innerhalb seines Portfolios Spezialisten benötigt. Es wird zu Problemen im Team kommen. Ja, genau. Ich nehme an, Sie meinen, dass man eine Plattformstrategie entwickeln soll, aber dann kann man schrittweise verschiedene Teile des Unternehmens darauf übertragen. Aber wenn man die richtige Plattform hat, kann man im Laufe der Zeit Funktionen hinzufügen
sodass man sich in die richtige Richtung bewegt
ohne dass es zu einem großen Systembruch kommt. 0:30:26 Nycholas Szucko: Das ist richtig. Und der letzte Ratschlag dazu wäre, sich auf die leicht zu erreichenden Ziele zu konzentrieren. Denn stellen Sie sich vor, nach drei Monaten: nein. Bei der nächsten Vorstandssitzung zeigen Sie bereits eine starke Konsolidierung auf, vielleicht durch eine Senkung der Kosten des Kernvertrags oder durch die Ausarbeitung eines besseren Vertrags, weil wir in der Lage sind, mehr Technologie zum gleichen Preis zu konsolidieren. Wenn du das beim nächsten Treffen als Sieger einsetzt, erhältst du Punkte. Das ist ein Spiel, bei dem man Punkte sammelt, um mehr Redezeit im Meeting und, wie soll ich sagen, auch mehr Verantwortung in diesem Prozess zu bekommen.
0:31:00 Emily Wearmouth: In Großbritannien würden wir sie Pluspunkte nennen, die man sich mit einem idealen Führungsteam verdient.
0:31:05 Nycholas Szucko: Viel besser.
0:31:08 Emily Wearmouth: Nycholas, das war ein äußerst interessantes Gespräch, und ich schätze es sehr, dass ich Ihnen im Grunde Datenpunkte präsentiert habe und Sie daraus einen Sinn ergeben haben. Sie haben uns einige wirklich konstruktive und sehr praktische Ansätze aufgezeigt, die unsere Zuhörer nutzen können, um sich vielleicht an einem schlechten Verhalten zu orientieren, das uns der Datenpunkt aufzeigt, und um dann zu zeigen, wie sie sich verbessern und die Dinge in ihrer eigenen Organisation optimieren können. Ich schätze all die Einblicke und das Wissen, die Sie heute mit uns geteilt haben, sehr.
0:31:35 Nycholas Szucko: Nein, es ist mir ein Vergnügen, hier zu sein. Ich hoffe, dass das Publikum mein Englisch versteht. Vielleicht könntest du hier Untertitel einfügen, damit es jeder versteht, aber es war fantastisch.
0:31:46 Emily Wearmouth: Brillant.
0:31:47 Nycholas Szucko: Danke. Und ich bin im Grunde hier in Brasilien. Meine gesamte Erfahrung stammt aus Lateinamerika, wo ich das Geschäft geführt habe. Wir müssen uns vor Augen halten, dass wir eine aufstrebende Region sind. Vielleicht werden die Dinge, die ich hier vorab nur anspreche und die für eine reifere Zielgruppe bestimmt sind, nicht auf Resonanz stoßen. Aber wir können aus diesem spannenden Gespräch auf jeden Fall einige gute Erkenntnisse mitnehmen. Und vielen Dank für die Gelegenheit,
0:32:12 Emily Wearmouth: Ich glaube, vieles von dem, was Sie gesagt haben, wird Anklang finden und für Unternehmen auf der ganzen Welt sehr nützlich sein. Sie haben den Podcast „Security Visionaries“ gehört, und ich war Ihre Gastgeberin, Emily Wearmouth. Schauen Sie doch mal in unserem Archiv auf Spotify, Apple Podcasts oder YouTube vorbei, dort finden Sie weitere großartige Episoden mit exzellenten Experten, die Ihnen viele nützliche Informationen vermitteln. Sie werden alle entweder von mir oder von meinen Co-Moderatoren Max Havey und Bailey Popp moderiert. Und wir sehen uns beim nächsten Mal.
){kind=icon}
