Einführung zum Leitfaden in 7 Kapiteln
Aufbau einer «cybersicheren» Kultur
Die Kultur Ihres Unternehmens ist entscheidend für den Aufbau einer erfolgreichen Cybersecurity. Seine Kultur muss Sicherheitsverhalten betonen, verstärken und Ohne eine Cybersecurity-Kultur wird es keine widerstandsfähige Belegschaft.
Einstellung
Die Einstellung einer Organisation ist ein kritischer Bestandteil der Kultur. Wenn wir Awareness in die Unternehmenskultur einführen, erhöhen wir unsere Fähigkeit, Cyberrisiken anzugehen. Jedes Unternehmen ist gefährdet, sei es ein kleines gemeinnütziges oder ein Fortune-100-Unternehmen. Angesichts der Häufigkeit von Cyberangriffen müssen wir wachsam und vorbereitet sein. Die Einstellung wird angemessene Verhaltensweisen auf individueller Ebene fördern und zu der belastbaren Belegschaft beitragen, die jedes Unternehmen benötigt.
Führung
Die Führungskräfte der Organisation geben den Ton an. Führung ist der wichtigste Faktor, um Awareness und Einstellung zu beeinflussen. Führungskräfte müssen sich der Cybersecurity-Weiterbildung, der Einstellung und Best Practice widmen. Führungskräfte müssen auch Sicherheitsinvestitionen unterstützen und sich für Cybersecurity im Risikomanagement von Unternehmen einsetzen. Von Führungskräften wird kein vertieftes technisches Wissen verlangt, sondern sie sollten gute persönliche Sicherheitsgewohnheiten auf Grundlage solider Richtlinien vorleben. Die Einbeziehung von Führungskräften ist für ein Cyber-Secure-Unternehmen von entscheidender Bedeutung.
Training und Sensibilisierung
Sobald Führungskräfte eine Cybersecurity-Kultur fördern, ist der nächste Schritt die Implementierung von Sensibilisierungsschulungen für die Mitarbeitenden. Diese Schulungen vermitteln ein Verständnis für Risiken und – was am wichtigsten ist – liefern konkrete Schritte zur Minderung dieser Risiken. Trainingsprogramme gibt es in vielen Formen; die meisten beinhalten computergestützte Lernmodule und praktische Übungen.
Der Einsatz von Social Engineering um Exploits via ahnungslose Mitarbeitende zu verbreiten, ist ein zunehmendes Risiko. Sie können selbst Zugang zu den betreffenden Daten oder Systemen haben oder ausgenutzt werden, um diejenigen zu erreichen, die dies tun. Ein Schlüsselelement eines Trainingsprogramms ist die Abhärtung Ihrer Mitarbeitenden gegen die Realität von Social Engineering-Angriffen. Kein Programm führt zu einer nachhaltigen Erfolgsrate von 100% gegenüber Angriffen durch Menschen, kann aber den Umfang und die Auswirkungen von Angriffen erheblich reduzieren; Ihre Cyber-Verteidiger können sich auf eine kleinere, überschaubare Menge von Vorfällen konzentrieren.
Ein weiterer gängiger Weg, um den Aufbau einer Cybersecurity-Kultur zu unterstützen, sind interne Sensibilisierungskampagnen. Von Postern und Newslettern über Wettbewerbe bis hin zu Gewinnspielen haben Unternehmen effektive Wege gefunden, um Begeisterung für wichtige Sicherheitsthemen zu erzeugen.
Leistungsmanagement
Anreize und Abschreckungsmittel können einen tiefgreifenden Einfluss auf das menschliche Verhalten haben. Damit ein echter kultureller Wandel bezüglich Cybersecurity-Akzeptanz eintritt, müssen die individuellen Leistungsziele mit den Zielen des Unternehmens übereinstimmen. Leistungsziele für die Sicherheit können der Abschluss der erforderlichen Schulungen, verbesserte Reaktionen auf Phishing-Übungen, die Einhaltung von Richtlinien und die Vermeidung von riskantem Online-Verhalten sein. Finanzielle und operative Kennzahlen sind in Unternehmen üblich; Sicherheitsmetriken sollten es auch sein.
Stärkung durch Technologie und Vorgaben
Technische Kontrollen im Zusammenhang mit menschlichem Verhalten können implementiert werden, um die Cybersecurity-Kultur zu stärken. So wie physische Zugangskontrollen das mentale Bewusstsein für einen physischen Perimeter stärken, können auch Passwortrichtlinien, Multi-Faktor-Authentifizierung und Lösungen für das Management mobiler Geräte die Sicherheitskultur stärken. Richtlinien auf Unternehmensebene können auch die Umsetzung von Kontrollen vorantreiben, indem sie die negativen Folgen von Verstössen aufzeigen.
Es gibt viele Möglichkeiten, wie diese Richtlinien umgesetzt werden können, die die einzigartige Kultur jedes Unternehmens widerspiegeln. Entscheidend ist, dass sie die Grundlage für die Entwicklung einer Cybersecurity-Kultur bilden, indem sie das Bewusstsein schärfen und die richtige Denkweise fördern. Mit einer soliden Cybersecurity-Kultur kann sich jede Unternehmensfunktion auf ihren eigenen Beitrag zum Schutz des Unternehmens konzentrieren.
NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ