Schaffung einer Kultur des Cybersecurity-Bewusstseins

Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Informationen. Akzeptieren

Schaffung einer Kultur des Cybersecurity-Bewusstseins

Statt das menschliche Fehlerrisiko zu reduzieren,
müssen Manager von Unternehmen schauen, wie sie
ihre Unternehmenskultur transformieren können.

British Museum in London

Tausende von Artikeln über Cybersicherheit weisen darauf hin, dass Menschen bei der Verhinderung von Datenschutzverletzungen eine ebenso große Rolle spielen wie die Technologie. Laut The 2018 Cost of a Data Breach Study des Ponemon Institue wurden 27 Prozent der Datenverstöße in diesem Jahr durch menschliches Versagen verursacht. So klar, dass es wichtig ist, Menschen in jede Art von Verteidigungsstrategie einzubeziehen.

Das kniffelige daran ist, wie wir aus der langsamen Einführung der Digitaler Transformation gelernt haben, dass es eine Herausforderung ist, Menschen zum Wandel zu bewegen. Es ist nicht damit getan, zu sagen: „Seien Sie vorsichtiger.“ oder „Sperren Sie Ihren Computer.“ Statt das menschliche Fehlerrisiko zu reduzieren, müssen Manager von Unternehmen schauen, wie sie ihre Unternehmenskultur transformieren können.

Es geht nicht nur darum, dass eine Person einen besseren Job macht; vielmehr geht es um einen kollektiven Fokus.

Was ist Kultur?

Nach dem Wörterbuch ist Kultur „die Reihe von gemeinsamen Haltungen, Werten, Zielen und Praktiken, die eine Institution oder Organisation charakterisieren.“ Es geht nicht nur darum, dass eine Person einen besseren Job macht; vielmehr geht es um einen kollektiven Fokus. Und es geht auch nicht nur darum, was wir tun. Es geht auch darum, wie wir über die Dinge denken, die wir machen.

Wenn wir also unsere Bemühungen zur Transformation der unternehmensweiten Beteiligung an der Cybersicherheit aufgeben, müssen wir jeden dieser Bereiche untersuchen und darüber nachdenken, welche Rolle sie bei der Schaffung einer Kultur der Sicherheit spielen.

Einstellung zur Cybersicherheit verändern

Wenn wir die Einstellung zur Cybersecurity ändern wollen, müssen wir Irrtümer beseitigen und die sachlichen Bestandteile des Risikos betonen.

Ein allgemeiner Irrtum ist: „Cybersicherheit ist Job der IT.“ Zu oft hören die Leute Cybersecurity und denken sofort an E-Mail und Internet – und das ist eindeutig die Technologie, also wird die IT es richten. Aber das ist eine Haltung, die sich ändern muss. Die Menschen müssen verstehen, das sie beim Schutz des Unternehmens eine wichtige Rolle spielen.

Ein anderer Ausdruck, der sich ändern muss, ist: „Das könnte mir nie passieren.“ Das ist ganz einfach nicht wahr. Ein Angriff kann jeder Person in jedem Unternehmen treffen. Die Menschen müssen verstehen, wie solche Angriffe funktionieren und anfangen, sich mit Statistiken, wie häufig Attacken sind, zu befassen:

Manager müssen in allen Geschäftsfeldern die Bedeutung der Cybersicherheit verstehen und die Menschen routinemäßig dazu ermutigen, entsprechende Handlungen umzusetzen.

Wertewandel im Zusammenhang mit Cybersicherheit

Wenn wir über Werte reden, geht es darum etwas wertzuschätzen. Ihm Bedeutung und einen Stellenwert im Leben der Menschen um uns herum zu geben. Wenn also der „Angstfaktor“ nicht ausreicht, um zum Handeln anzuregen, wie geben wir dann Cybersecurity einen Wert aus der Sicht unserer Mitarbeiter?

Sicherlich ist entscheidend, mit gutem Beispiel voranzugehen. Sowohl im Hinblick auf das Gerede als auch auf die Bereitstellung von Budgets für Maßnahmen zur Cyberdefense. Manager müssen in allen Geschäftsfeldern die Bedeutung der Cybersicherheit verstehen und die Menschen routinemäßig dazu ermutigen, entsprechende Handlungen umzusetzen. Und natürlich müssen Sie es selbst auch tun: man kann anderen nicht sagen, dass sie ihre Passwörter ändern sollen und dann 25 Jahre lang das eigene behalten, weil es so einfacher ist.

Manchmal aber brauchen die Leute mehr, bevor sie Wert auf eine Idee legen. Denken Sie an einen Sport, den Sie praktizieren und schätzen. Sie prahlen mit Ihren Leistungen auf dem Feld. Mit Ihrer Mannschaft feiern Sie Erfolge. Sie könnten jemand anderem empfehlen, es auszuprobieren und ihn dabei zu unterstützen.

Gleiches gilt für Cybersecurity-Initiativen. Die Menschen müssen regelmäßig ermutigt und daran erinnert werden, wie wichtig ihre Rolle ist. Sie müssen dafür gefeiert werden, dass sie sich anstrengen: man sollte ihnen danken, wenn sie eine rote Fahne hissen, einen Fehler eingestehen oder eine Strategie verfolgen.

Veränderte Ziele in Bezug auf Cybersicherheit

Alle Ziele sollten gemessen werden, ob sie erfolgreich sind. Aber wie misst man Bewusstsein und Akzeptanz für dieses Thema? Denken Sie daran, dass es hier um eine Veränderung der Kultur geht, sodass Sie nicht auf die bewährten KPIs setzen können wie die Anzahl der Vorfälle oder die Kosten pro Vorfall.

Denken Sie stattdessen darüber nach, wie die Mitarbeiterbeteiligung gemessen werden kann:

  • Lesen Leute die Informationen, die Sie zur Verfügung stellen? Welche Klickraten bekommen Sie? Wie ist die Öffnungsrate?
  • Sind sie mit den Richtlinien und Verfahren einverstanden? Wie viele haben eine unterschriebene Kopie der Police zurückgeschickt? Wie viele haben ein Training absolviert?
  • Sind sich die Mitarbeiter ihrer Rolle in der Cybersicherheit tatsächlich bewusst? Vielleicht befragen Sie sie jährlich, um herauszufinden, was sie wissen und was nicht.
  • Bekommt die IT-Abteilung mehr Anfragen zur Auswertung von Apps/Programmen? Oder mehr Berichte über verdächtige Aktivitäten?

Und denken Sie daran, dass ein kultureller Wandel eine kollektive Anstrengung sein sollte, also halten Sie die Zahlen nicht verborgen. Vielleicht wollen Sie sogar die Anstrengung ein bisschen feiern: „Hallo zusammen, wir waren im vergangenen Jahr bei 85% Bewusstsein. Mal sehen, ob wir in diesem Jahr 92% erreichen können! Die erste Person, die ihre Umfrage einreicht, bekommt einen Preis!“

Sperren Sie den Bildschirm auf Geräten, wenn Sie sie unbeaufsichtigt lassen.

Praktiken, die sich auf die Cybersicherheit auswirken

Und natürlich gibt es viele Praktiken, die notwendig sind, um die Arbeit zu erledigen. Praktiken sind alle Tipps und Tricks, die zur Bekämpfung von Datenverstößen eingesetzt werden:

  • Hintergrundcheck bei Neueinstellungen
  • Durchführen von Trainings
  • Verankern eines Anwalts für Cybersecurity in jedes Team/jede Gruppe
  • Einführen von automatischen Backups und/oder der Bereitstellung von Sicherungsgeräten
  • Erzwingen von Passwortänderungen
  • Automatische Aktualisierungen von Software
  • Verwenden von Verschlüsselungen
  • Firmeneigene mobile Endgeräte zur Verfügung stellen
  • Investieren in einen Schredder oder Dokumenten-Vernichtungsdienst
  • Aufräumen von nicht mehr aktuellen Dateien
  • Physisch sichere Laptops und Endgeräte
  • Sperren Sie den Bildschirm auf Geräten, wenn Sie sie unbeaufsichtigt lassen

Insgesamt geht es hier darum, dass es mehr als nur eine Checkliste von Best Practices braucht, um eine Kultur des Cybersicherheitsbewusstseins zu schaffen. Es erfordert, dass alle Komponenten der Kultur zusammenarbeiten und sich auf Veränderungen konzentrieren, um Ihr Unternehmen zu schützen.