Es gibt vier Geheimnisse, um eine starke, bewusste und nachhaltige Sicherheitskultur aufzubauen. Eines dieser Geheimnisse konzentriert sich auf die Berücksichtigung der Security-Awareness im Einklang mit der Organisationskultur. Kultur wird geteilt, gelernt und angepasst, kann aber beeinflusst werden. Das bedeutet, dass es einer Gruppenarbeitskollektivität bedarf, und diese beginnt in der Regel bei den Leitern. Von Führungskräften wird jedoch nicht nur erwartet, dass sie führen, sie müssen tiefer in ihre Rolle als Führungskraft einsteigen und einen Top-Down-Ansatz verfolgen, wenn sie das Sicherheitsverhalten innerhalb einer Organisationskultur ändern möchten.
Leiter sind kulturelle Leuchttürme
Wie bereits erwähnt, sollte die Rolle des Leiters in kulturellen Veränderungsprozessen nicht unterschätzt werden. Wenn die Schutzmechanismen der Kultur instabil werden und zu scheitern drohen, suchen die Menschen nach neuer Stabilität und Sicherheit, an der sie sich festhalten können. Führungskräfte sind einer der ersten Orte, an dem Menschen danach suchen. Eine Führungskraft, die ihr Team durch eine Zeit des Kulturwandels leiten will, muss dies auf vielen Ebenen tun. Wie treffen diese Schlüsselmerkmale auf die Veränderung des Sicherheitsverhaltens durch Security-Awareness-Training zu:
Ausdrücklich: durch die klare Kommunikation der neuen Regeln, Annahmen, Überzeugungen und Erwartungen an die neue Situation. Dazu gehören die Vision, die Regeln des Engagements, die Metriken, die beabsichtigten Ergebnisse – alles, was Menschen hilft, ein neues, konsistentes System mit einem klar verstandenen und (relativ) sicheren Ort für sie als Teil dieser Kultur zu schaffen. Beim Security-Awareness-Training geht es zunächst darum, festzustellen, was das Unternehmen bereits hat und was als Bestandsaufnahme dienen soll: Wo liegen die Schwächen? Wie anfällig sind die Mitarbeiter für Phishing? Was erwartet die Führungskräfte von den Mitarbeitern? All dies sollte auch Basistests umfassen.
Implizit: Da jedes Security-Awareness-Programm darauf ausgerichtet ist, das Gesamtrisiko von menschenbezogenen Sicherheitsvorfällen in einem Unternehmen zu reduzieren, ist es unerlässlich, Verhaltensmanagementpraktiken zu integrieren, und das beginnt bei den Führungskräften. Neben der Festlegung einer Richtlinie zur Informationssicherheit müssen die Sicherheitsbeauftragten dafür sorgen, dass sie konsequent in Übereinstimmung mit den neuen kulturellen Regeln handeln, die mit Verfahren und Erwartungen zusammenhängen, und bereits bei ihrer Entstehung falsch ausgerichtete Verhaltensweisen und Überzeugungen ansprechen, um die Mitarbeiter auf einer Linie in Übereinstimmung mit den Richtlinien zu halten.
Symbolisch: Der Leiter ist nicht nur eine Person, die Führungskraft ist auch ein Symbol für Sicherheit, Zusammenhalt und Stabilität. Viele Führungskräfte unterschätzen diesen Teil ihrer Rolle. Sie müssen von Zeit zu Zeit alle drei Faktoren in die alltägliche Sicherheitskultur einbringen, als Teil der symbolischen Rolle, die sie innehaben.
Repräsentativ: Als Führungskraft erwartet das Team von, dass man sie in der politischen Arena vertrittn: Ressourcen beschaffen, Hindernisse beseitigen und die Anerkennung für die geleistete Arbeit sicherstellen. Wie funktioniert das bei einem Security-Awareness-Training?
- Integrieren Sie Executive Buy-in in die Unternehmensphilosophie und binden Sie das Security-Awareness-Training in die Art und Weise ein, wie ihr Unternehmen Risiken und Chancen einschätzt.
- Ein Sicherheitsleiter muss mit anderen Abteilungen zusammenarbeiten und Begeisterung in einem Unternehmen erzeugen. Von der Personalabteilung über die Compliance bis hin zum Marketing kann jeder eine Rolle spielen und helfen, eine gute Sicherheitskultur aufzubauen und durchzusetzen.
Always-On: Damit Kulturführung funktioniert, muss der Leiter von einem starken Team unterstützt werden. Wer An- und Abwesenheit sowie unvorhersehbare Verhaltensweisen ignoriert, untergräbt die dringend benötigte Stabilität, die sich die Menschen von ihren Vorgesetzten erwarten. Unter besonderer Berücksichtigung der Security-Awareness bedeutet dies laufende Simulationstests während des gesamten Kalenderjahres, regelmäßige (und maßgeschneiderte) Schulungsinhalte und den Einsatz einer Vielzahl von Tools. Es ist wichtig, sich daran zu erinnern, dass verschiedene Formen von Inhalten bei verschiedenen Menschen unterschiedlich klingen. Einzelpersonen haben einzigartige Möglichkeiten, die Information zu absorbieren. Newsletter bis zum Video – die Realisierung vieler Möglichkeiten sind notwendig, um die Aufmerksamkeit aller zu gewinnen.
Wenn es darum geht, das Verhalten zu ändern und eine bessere Sicherheitshygiene aufzubauen, ist die Rolle des Leiters nicht nur entscheidend, sondern es ist der Anstoß zur Veränderung. Ihr Unternehmen wird sich an die Führungskraft wenden, um die Mitarbeiter zu steuern, sie zu motivieren und ihnen Best-Practices zu zeigen. Es ist ein anspruchsvoller Job, aber entscheidend für den Geschäftserfolg.
Auf diese Weise hilft eine Führungskraft, eine gesunde Sicherheitskultur innerhalb des Unternehmens zu initiieren und aufrechtzuerhalten. Gemäß CLTRe geht die Sicherheitskultur über das reine Sicherheitsbewusstsein hinaus. Es umfasst ein Muster von Einstellungen, Verhaltensweisen, Kognition, Kommunikation, Compliance, Normen und Verantwortlichkeiten. Sicherheitskultur ist daher viel mehr als nur IT-Richtlinien und -Prozesse; sie erfordert die Unterstützung und Beteiligung aller Benutzer. Um zu erkennen, ob Sie auf dem richtigen Weg sind, eine Sicherheitskultur aufzubauen, kann ein Leiter auf die folgenden Punkte achten:
- Überzeugung – Organisationen, die eine erfolgreiche Sicherheitskultur schaffen, haben ihre Benutzer so weit geschult, dass sie verstehen, dass ihre Beteiligung an der Sicherheit notwendig und entscheidend für den Erfolg der Organisation ist. Ohne Überzeugung gibt es keine Annahme. Und ohne Benutzerakzeptanz ist die Kultur tot.
- Haltung – Es ist eine Sache zu glauben; es ist eine ganz andere, darauf zu reagieren. Irgendwo in der Mitte befindet sich die Einstellung der Mitarbeiter zu ihrer Teilnahme an der Sicherheitskultur. Benutzer sollten eine positive Einstellung haben und dabei helfen wollen, ihren Teil zur Sicherung der Organisation beizutragen, anstatt es als Ablenkung von ihrer Arbeit und als Ärgernis zu betrachten.
- Annahme – Sie können erkennen, dass der Benutzer sicherheitsbewusst ist, wenn er dasselbe tut, was Sie jeden Tag tun, wenn Sie E-Mails öffnen, Webseiten besuchen etc.; es gibt eine Annahme der Überprüfung, die notwendig ist, um sicher zu sein, dass das, worauf Sie reagieren, legitim ist.
- Verhalten – Benutzer, die sich in die Sicherheitskultur eingearbeitet haben, beginnen, ihr Verhalten zu ändern; weniger impulsives Klicken, mehr Überprüfen von Domainnamen und E-Mail-Adressen und mehr Überprüfung, wer fragt oder anbietet.
- Vorgehensweisen – Die Wahrscheinlichkeit, dass Benutzer in der IT arbeiten, ist geringer und sie versuchen sicherzustellen, dass Daten und Zugriff geschützt bleiben. Es werden zielgerichtete Schritte unternommen, die die Kulturprinzipien wahren und den erforderlichen Sicherheitszustand erhalten.
- Ein Muster – das ist entscheidend: Alle der oben genannten Indikatoren sind keine einmalige oder vorübergehende Sache; sie sind eine kontinuierliche Art und Weise, Geschäfte innerhalb ihres Unternehmens zu tätigen.
Fazit
Sicherheitskultur und Security-Awareness sind nicht ähnlich, sie müssen aber eng miteinander verbunden sein, wenn man das Sicherheitsverhalten innerhalb einer Organisation ändern möchte. Die Etablierung einer Sicherheitskultur erfordert, dass jeder Benutzer versteht, warum es wichtig ist, seine Arbeit unter Berücksichtigung der Sicherheit zu erledigen. Das Security-Awareness-Training hilft daher, das Denken der Benutzer zu bewahren und sowohl die Prinzipien der Sicherheitskultur als auch die Best-Practices, die täglich angewendet werden können, zu stärken und diese zu einem integralen Teil der Organisationskultur zu machen.
Von Perry Carpenter Chief Evangelist & Strategy Officer bei KnowBe4
#Netzpalaver #KnowBe4