Eine Einführung für die Geschäftsleitung (Teil 4)
Bei der Etablierung und Aufrechterhaltung einer gesunden Kultur in jedem Teil des Unternehmens geht es darum, den Menschen in den Mittelpunkt von Strukturen und Richtlinien zu stellen. Bei der Cybersecurity besteht jedoch manchmal die Tendenz, sich fast ausschliesslich auf die technischen Fragen zu konzentrieren und die Bedürfnisse der Menschen und ihre tatsächliche Arbeitsweise zu übersehen.
Das führt selten zum Erfolg. Wir wissen zum Beispiel, dass, wenn die offizielle Policy es jemandem schwer macht, seine Arbeit zu tun, oder wenn eine Policy nicht mehr praktikabel ist, die Menschen Umgehungsmöglichkeiten und „inoffizielle“ Wege finden, bestimmte Aufgaben zu erfüllen.
Ohne eine gesunde Sicherheitskultur werden sich die Mitarbeiter nicht mit Cybersecurity beschäftigen, so dass Sie nichts über diese Umgehungsmöglichkeiten oder inoffiziellen Ansätze wissen. So haben Sie nicht nur ein ungenaues Bild von der Cybersecurity Ihrer Organisation, sondern verpassen auch die Möglichkeit, wertvolle Beiträge von Mitarbeitern zu erhalten, wie Richtlinien oder Prozesse verbessert werden können.
Was sollte die Geschäftsleitung tun?
Mit gutem Beispiel vorangehen
Sie geben den Ton an, wenn es um die Cybersecurity geht. Führen Sie mit gutem Beispiel und setzen Sie sich für Cybersecurity in Ihrer Organisation ein.
Wir hören oft Geschichten von Führungskräften, die Sicherheitsrichtlinien und -prozesse ignorieren, oder von der Forderung nach einer „Sonderbehandlung“ in irgendeiner Weise (z.B. die Forderung nach einem anderen Gerät als dem Standard). Dies sagt allen anderen in der Organisation, dass Sie die Regeln vielleicht nicht für zweckmässig halten und/oder dass es akzeptabel ist, zu versuchen, sie zu umgehen.
Wenn Richtlinien für Sie als Geschäftsleitungsmitglied nicht funktionieren (d.h. wenn Sie etwas anderes tun, um Ihre Arbeit leichter zu erledigen), dann besteht eine gute Chance, dass sie auch nicht für andere funktionieren. Wenn es den Anschein hat, dass sich die Politik nachteilig auf die Organisation auswirkt, arbeiten Sie mit den Entscheidungsträgern zusammen, um sie anzupassen.
Kultur braucht Zeit und gemeinsame Anstrengungen, um sich zu entwickeln. Gehen Sie nicht davon aus, dass, weil die Geschäftsleitung einen Sicherheitsansatz gebilligt hat, dieser automatisch in der gesamten Organisation kaskadiert wird
Was sollte Ihre Organisation tun?
Menschen in den Mittelpunkt der Sicherheit stellen
Letztendlich sollte die Rolle der Sicherheit darin bestehen, dass Ihr Unternehmen in die Lage versetzt wird, seine Ziele zu erreichen. Daraus folgt, dass, wenn Ihre Cybersicherheitsmassnahmen für die Leute nicht funktionieren, dann funktionieren Ihre Sicherheitsmassnahmen nicht.
Einige Organisationen geraten in die Falle, die Menschen als das „schwache Glied“ zu behandeln, wenn es um die Cybersecurity geht. Das ist ein Fehler. Effektive Sicherheit bedeutet, alle verschiedenen Komponenten auszugleichen und nicht zu erwarten, dass der Mensch immer der Technologie gerecht werden muss. Noch wichtiger ist, dass die Organisation nicht ohne Menschen funktionieren kann, daher sollten die Mitarbeiter unterstützt werden, damit sie ihre Arbeit so effektiv und sicher wie möglich erledigen können.
Sicherheit und Führung müssen das Beste aus dem machen, was das Verhalten der Menschen ihnen sagt. Während die technische Überwachung nach Anomalien suchen kann, kann der Mensch als Frühwarnsystem fungieren und intuitiv etwas entdecken, das ungewöhnlich aussieht. Sicherzustellen, dass die Mitarbeiter wissen, an wen sie Bedenken melden müssen, kann der Organisation langfristig viel Zeit und Geld sparen. Wenn die Mitarbeiter ein festgelegtes Verfahren umgehen, kann dies eine bestimmte Richtlinie oder einen bestimmten Prozess hervorheben, der einer Überprüfung bedarf.
Entwicklung einer „gerechten Kultur“
Die Entwicklung einer „gerechten Kultur“ wird es der Organisation ermöglichen, mit dem Personal die bestmögliche Interaktion bezüglich Cybersecurity zu haben. Die Mitarbeiter werden ermutigt, sich zu Wort zu melden und Bedenken zu äussern, es werden geeignete Massnahmen ergriffen, und niemand versucht, Schuld zuzuweisen. Dies ermöglicht es den Mitarbeitern, sich darauf zu konzentrieren, den grösstmöglichen Nutzen für das Unternehmen zu erzielen, anstatt sich auf den Schutz ihrer selbst zu konzentrieren.
Was wäre ein gutes Vorgehen?
Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was „gute“ Cybersecurity im Hinblick auf die Entwicklung einer positiven Cybersicherheitskultur ausmacht.
Frage 1
Setze ich als Geschäftsleitungsmitglied ein Beispiel?
Sie könnten dies tun, indem Sie:
- Sicherstellen, dass sich die Mitarbeiter auf allen Ebenen des Unternehmens befähigt fühlen und einen geeigneten Mechanismus haben, um Sicherheitsbedenken anzusprechen.
- Sich mit Sicherheitsentscheidungen befassen und diese respektieren und mit Entscheidungsträgern zusammenarbeiten, um ineffektive Richtlinien hervorzuheben.
- Übernehmen Sie Verantwortung für Ihre eigene Rolle in der Cybersecurity, indem Sie das Risiko, das Sie als wahrscheinliches Ziel für Angreifer darstellen, erkennen und entsprechend handeln.
- Offen und positiv mit den Mitarbeitern darüber sprechen, warum Cybersecurity für das Unternehmen wichtig ist.
Frage 2
Haben wir als Organisation eine gute Sicherheitskultur?
Einige Zeichen dafür, dass eine Organisation einen guten Ansatz hat, wären:
- Die Mitarbeiter wissen, wie sie Bedenken oder verdächtige Aktivitäten melden können, und fühlen sich dazu ermächtigt.
- Die Mitarbeiter fürchten keine Repressalien, wenn sie Bedenken oder Vorfälle melden.
- Die Mitarbeiter fühlen sich in der Lage, Prozesse konstruktiv zu hinterfragen.
- Die Mitarbeitereinbindung wird nachweislich zur Gestaltung der Sicherheitspolitik genutzt.
- Die Mitarbeiter verstehen, wie wichtig Cybersicherheitsmassnahmen sind und was sie für das Unternehmen bedeuten.
Frage 3
Was tun wir als Organisation um eine gute Sicherheitskultur zu unterstützen?
Dies kann je nach Grösse Ihrer Organisation sehr unterschiedlich sein. Einige Beispiele, die wir gesehen haben, sind unter anderem:
- Angemessene Ressourcen für die Mitarbeiter-Awareness.
- Sicherstellen, dass die Mitarbeiter bei der Erstellung neuer Richtlinien oder Systemdesigns einbezogen werden.
- Teilen von Sicherheitsmetriken, die sich auf den Erfolg und nicht auf das Scheitern konzentrieren (z.B. wie viele Personen Phishing-E-Mails identifiziert haben und nicht wie viele Personen auf sie geklickt haben).
- Unterstützung der Wichtigkeit der Cybersicherheit durch die Geschäftsleitung.
https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/