Wie Psychologie und Verhaltenswissenschaft ihnen beim Aufbau ihrer Cybersecurity-Kultur helfen können



Author: Christina Lekati (about Christina)

Christina Lekati

Es gibt Zeiten, in denen man gute Ratschläge zur Cybersicherheit von den unvermutetsten Quellen erhalten kann. Eine davon findet sich in dem berühmten Buch "How To Win Friends and Influence People" von Dale Carnegie.

In diesem Buch beschreibt Dale Carnegie die Geschichte von Mr. Johnston, einer Sicherheitsfachkraft, die für ein Ingenieurbüro arbeitet. Eine von Herrn Johnstons Aufgaben war es, dafür zu sorgen, dass bestimmte Sicherheitsrichtlinien von den Mitarbeitern eingehalten wurden - zum Beispiel das Tragen der Schutzhelme während der Arbeit. Sein allgemeiner Ansatz zur Durchsetzung dieser Richtlinie bestand darin, alle Mitarbeiter darüber zu informieren, dass sie ihre Helme als Teil der Firmenvorschrift tragen mussten, und dann durch die Produktionshalle zu gehen, um zu überprüfen, wer diese Richtlinie durch das Tragen des Helms einhielt und wer nicht. Wenn er jemanden entdeckte, der keinen Helm trug, sprach er ihn an, zitierte die Richtlinie und verlangte, dass er den Helm wieder aufsetzte, bis der Mitarbeiter dies tat. Aber sobald Mr. Johnston in sein Büro zurückkehrte, nahmen sie ihre Helme wieder ab.

Herr Johnston war sich dieser Praxis bewusst, war sich aber nicht sicher, was er tun sollte, um die Mitarbeiter zur Einhaltung zu bewegen. Er kehrte jedes Mal in sein Büro zurück, wissend, dass seine Bemühungen vergeblich waren, und dachte: "Warum? Warum befolgen sie nicht einfach diese einfache Sicherheitsmaßnahme? Was ist nur los mit diesen Leuten?". Eines Tages beschloss er, etwas Neues auszuprobieren. Er ging wieder in die Produktionshalle, aber dieses Mal beschloss er, seine autoritäre Haltung abzulegen und die Mitarbeiter auf eine andere Art und Weise anzusprechen. Er fragte sie, warum sie ihre Helme nicht trugen und ob sie sich wohl fühlten. Er fing an, nützliches Feedback über kleine Anpassungen mit großer Wirkung zu bekommen, die an den Helmen vorgenommen werden mussten. Gleichzeitig hatte er aber auch die Möglichkeit, mit ihnen zu diskutieren und sie wissen zu lassen, dass die Helmpflicht zu ihrer eigenen Sicherheit besteht, dass sie sie schützt und den reibungslosen Betrieb des Unternehmens und damit auch ihre eigenen Arbeitstage gewährleistet. Die Mitarbeiter begannen, auf diesen Ansatz zu reagieren. Die Befolgungsraten stiegen, und die Mitarbeiter begannen, mehr Verständnis und eine positive Einstellung zu diesen Sicherheitsmaßnahmen zu entwickeln. Sie begannen auch, Mr. Johnston zu akzeptieren, dessen Aufgabe es war, diese Maßnahmen durchzusetzen. Mit dieser neuen Herangehensweise veränderte Herr Johnston erfolgreich die Sicherheitskultur innerhalb seines Unternehmens.

Viele Cybersicherheitsexperten finden sich in den Schuhen von Herrn Johnston wieder. Sie müssen die Bedrohungen für die Informationssicherheit bewerten und adressieren, aber sie müssen auch sicherstellen, dass die Mitarbeiter ihrer Organisation die notwendigen Sicherheitsmaßnahmen, die sie betreffen, einhalten. Gleichzeitig vertreten die Mitarbeiter oft gegensätzliche Ansichten zu Sicherheitskontrollen. Maßnahmen, die für einen Cybersecurity-Profi notwendig sind, um die Sicherheit und Integrität von Organisations- und Informationswerten zu gewährleisten, betrachten Mitarbeiter als aufdringliche Mechanismen, die Mühe und Zeit kosten und ihre Produktivität beeinträchtigen. Oft können Mitarbeiter nicht erkennen, warum sie Sicherheitsrichtlinien einhalten sollten und neigen dazu, eine sicherheitsaverse Kultur zu fördern. Das Endergebnis sind Abkürzungen, Ressentiments und riskantes Sicherheitsverhalten.

Cybersecurity-Experten müssen heute bestimmte Verhaltensaspekte berücksichtigen, wenn sie eine Sicherheitsrichtlinie effektiv umsetzen und eine bessere Cybersecurity-Kultur fördern wollen. Verständlicherweise ist dies für viele Sicherheitsexperten, die normalerweise eher technologieorientiert sind, ein schwieriges und unbekanntes Terrain. Aber da Bedrohungsakteure immer wieder Menschen ins Visier nehmen und angreifen, müssen Cybersicherheitsexperten lernen, wie sie diese Bedrohungen den Mitarbeitern ihrer Organisation besser vermitteln und sicherstellen können, dass diese sich am Schutz ihrer Organisation beteiligen. Da wir immer wieder beobachten, dass Cybersecurity-Angriffe zunehmen, hat sich die Branche von der Mentalität "es geht nicht darum, ob, sondern wann" zu "es geht nicht darum, wann, sondern wie oft" Angriffe auftreten werden, und muss daher besser vorbereitet sein. Unternehmensweite, mehrschichtige Cybersicherheit ist heute kein Luxus mehr, sondern eine Notwendigkeit. In unserer aktuellen Bedrohungslandschaft spielt die Kultur eine wichtige Rolle und arbeitet entweder für oder gegen die Cybersicherheitsziele einer Organisation. Wir müssen uns damit beschäftigen, wie wir eine Kultur fördern können, die bessere Cybersicherheitspraktiken unterstützt. Aber denken Sie daran: Es ist eine Straße, die in beide Richtungen führt. Wie das berühmte Zitat von Stephen Covey besagt, müssen Sie "erst verstehen, um dann verstanden zu werden", bevor Sie in der Lage sind, organisatorische und verhaltensbezogene Veränderungen voranzutreiben, so wie es Herr Johnston getan hat.

"Die Art und Weise, wie die Dinge hier gemacht werden"

Bevor wir uns mit dem "Wie" beschäftigen, müssen wir uns ansehen, was wir zu erreichen versuchen und in welchem Umfeld Sicherheitsexperten arbeiten, wenn es um Kultur geht.

Nach der Definition des "Security Culture Framework" beziehen wir uns auf eine Sicherheitskultur, wenn wir uns auf die Gesamtheit von

"Ideen, Bräuche und sozialen Verhaltensweisen eines bestimmten Volkes oder einer Gesellschaft [d. h. der Mitarbeiter in einer Organisation], die es ihnen ermöglichen, frei von Gefahren oder Bedrohungen zu sein."

Mit anderen Worten, es bezieht sich auf "die Art und Weise, wie die Dinge hier gemacht werden", wenn es um den Umgang mit den Vermögenswerten der Organisation geht, und auf das Bewusstsein, das mit dem Wissen um die Bedrohungen einhergeht, denen ein Mitarbeiter in Bezug auf die Vermögenswerte, mit denen er umgeht, ausgesetzt sein könnte. Mitarbeiter werden ins Visier genommen, und die Auswirkungen eines erfolgreichen Angriffs können sich (auf verschiedenen Ebenen) sowohl auf die Organisation als auch auf die Personen auswirken, die ins Visier genommen und ausgenutzt wurden. Solange Manager und Mitarbeiter Zugang zu Systemen, Assets und hochwertigen Informationen haben, werden sie zu Zielen. Das Problem ist, dass sie es meistens entweder nicht wissen oder nicht glauben, dass es ihnen passieren wird. In einigen Fällen glauben sie fälschlicherweise, dass sie aufgrund der Sicherheitstechnologie, die das Unternehmen implementiert hat, bereits sicher sind, oder dass sie in der Lage wären, Social Engineering oder einen Cyberangriff zu erkennen. Leider sind gerade einige der Social-Engineering-Angriffe genau darauf ausgelegt, sowohl die Sicherheitstechnologie als auch die kognitiven Filter der Mitarbeiter zu umgehen - so dass sie sie nicht erkennen werden. Daher kann es sich als entscheidend erweisen, sowohl proaktiv als auch konsequent in Bezug auf die täglichen guten Sicherheitspraktiken zu sein und die Sicherheitsprozesse und -richtlinien einzuhalten.

Andererseits dürfen wir nicht vergessen, dass Sicherheitsexperten in einem größeren organisatorischen Umfeld agieren. Die Entwicklung einer Cybersicherheitskultur muss in das größere organisatorische Umfeld und die bereits bestehende Kultur integriert werden. Dies kann eine ziemliche Herausforderung sein, besonders in größeren und komplexeren Organisationen. Auch wenn Sicherheitsteams die edle Absicht haben, eine Cybersecurity-Mentalität innerhalb ihrer Organisationskultur zu entwickeln, können ihre Bemühungen vom Rest der Organisationsumgebung und deren Prioritäten überschattet werden.

Denken Sie an die Größe Ihrer Cybersicherheitsabteilung im Verhältnis zur Anzahl und Größe der anderen Abteilungen:

Cybersicherheitsabteilung

Bedenken Sie nun auch, dass jede Abteilung ihre eigenen Ziele, Prioritäten und "Mini-Kultur" hat. Die Einführung neuer Verhaltensweisen in diesen Abteilungen sollte mit den Zielen dieser Abteilung übereinstimmen bzw. sich in diesem Sinne entwickeln. Es ist leicht zu erkennen, warum dies kein einfaches Unterfangen ist. Aus diesem Grund kann ein Security Awareness Training Ihre Sicherheitskultur zwar maßgeblich unterstützen, aber nicht alleine aufbauen. Es kommen weitere Faktoren ins Spiel, die das Endergebnis der Verhaltensweisen innerhalb einer Organisation formen. Zu einem großen Teil werden diese Faktoren zunächst die Unterstützung durch die Führung und die Stakeholder einbeziehen.

Aber lassen Sie uns diese Reise von Anfang an antreten ...

Was uns die Verhaltenswissenschaft über die Änderung von Sicherheitsverhaltensweisen lehrt

In der gesamten wissenschaftlichen Forschung zum Thema Verhaltensänderung hat sich kein Modell als ausreichend geeignet erwiesen, um uns zu zeigen, wie wir sicheres Verhalten steigern und die Ziele der Entwicklung einer Cybersicherheitskultur erreichen können. Die meisten von ihnen berücksichtigen nicht alle Variablen, die an einem Arbeitsplatz zusammenspielen, und machen sich daher selbst unwirksam. Das sind die schlechten Nachrichten. Die gute Nachricht ist, dass sie dennoch einen Wert darstellen können. Wenn wir uns die wissenschaftlichen Modelle zur Verhaltensänderung genau ansehen und miteinander verknüpfen, können wir uns ein besseres und sehr nützliches Bild machen.

Es gibt genügend Forschungsergebnisse, die darauf hindeuten, dass Modelle, die sich auf die positive Beeinflussung von wünschenswertem Cybersicherheitsverhalten konzentrieren, weitaus effektiver sind als alle Verhaltensmodelle, die sich auf Angst als Motivationsfaktor für die Einhaltung von Cybersicherheitsrichtlinien konzentrieren. Tatsächlich hat die Forschung wiederholt bewiesen, dass Organisationen besser dran sind, wenn sie sich darauf konzentrieren, die aktive Beteiligung an cybersicherheitsrelevanten Angelegenheiten, die die Mitarbeiter betreffen, zu fördern, anstatt sie zur Einhaltung zu zwingen. Organisationen brauchen Mitarbeiter, die aktiv und willentlich ihre "mentalen Sensoren" einsetzen können, um verdächtiges Verhalten, Unregelmäßigkeiten und potenzielle Bedrohungen zu erkennen. Sie brauchen Mitarbeiter, die das Wissen, die Fähigkeiten und das persönliche Interesse haben, sich für die defensive Cybersicherheit ihrer Organisation einzusetzen.

Wie können wir sie also befähigen?

Die Theorie des geplanten Verhaltens (Theory of Planned Behaviour, TPB) besagt, dass die Absicht einer Person für eine Handlung (z. B. ihren Bildschirm zu sperren, während sie abwesend ist) von drei Faktoren abhängt:

• Die Einstellung der Person gegenüber dem Verhalten

Hat die Person das Gefühl, dass eine bestimmte Handlung wichtig genug ist und dass sie in irgendeiner Weise für sie selbst von Vorteil ist? Oder mag sie sie nicht oder hat das Gefühl, dass sie nicht wichtig genug ist, um Zeit und Mühe darauf zu verwenden? Wenn die Person eine positive Einstellung zu einer bestimmten Cybersicherheitsgewohnheit hat, ist es wahrscheinlicher, dass sie in Erwägung zieht, diese auszuführen - und es dann auch tatsächlich tut. Wenn sie beispielsweise nicht über Fälle von Insider-Bedrohungen in ihrer Branche und den Schaden, den diese verursachen können, Bescheid wissen, halten sie es vielleicht nicht für wichtig, ihren Bildschirm zu sperren, bevor sie ihr Büro verlassen, da sie sich der potenziellen Bedrohungen in ihrer Umgebung nicht bewusst sind.

• Die wahrgenommene Norm

Wie reagiert der Rest ihrer Umgebung auf diese spezifische Handlung? Unterstützen sie sie und sehen sie in einem positiven Licht, ignorieren sie sie oder lehnen sie sie ab? Die Art und Weise, wie unser soziales Umfeld auf bestimmte Verhaltensweisen reagiert, hat die Macht, diese entweder zu verstärken oder zu schwächen. Besonders wichtig werden die Reaktionen ihres Teams und des/der Teamleiter(s) sein.

• Die wahrgenommene Verhaltenskontrolle

Fühlt sich die Person in der Lage, dieses Verhalten auszuführen, oder ist es für sie zu kompliziert, es auszuführen? Wenn Selbstwirksamkeit vorhanden ist, wird sie es mit größerer Wahrscheinlichkeit ausführen.

An diesem Punkt treffen wir, die Verhaltensforscher, die daran arbeiten, Organisationen beim Aufbau ihrer Cybersicherheitskultur zu unterstützen, auf ein Paradoxon: das der widersprüchlichen Prioritäten. Viele Unternehmen haben heute verstanden, wie wichtig ihre Mitarbeiter als integraler Bestandteil der Sicherheit sind. Menschen sind in der Lage, Bedrohungen zu erkennen, sie abzuwehren und sie zu melden, um den Rest der Organisation zu warnen. Unternehmen, die das verstanden haben, geben oft vor, ihre Mitarbeiter bei der Aufrechterhaltung sicherer Prozesse zu unterstützen, während sie ihren täglichen Arbeitsaufgaben nachgehen. Aber was sie oft tun, ist, dass sie ihren Mitarbeitern auch gemischte Botschaften geben, wenn es darum geht, Prioritäten zu setzen. Wird einem reisenden Mitarbeiter, der an einem zeitkritischen Projekt arbeitet, eine kleine Fristverlängerung gewährt, um die Dateien, an denen er gearbeitet hat, über eine sichere Internetverbindung zu übermitteln? Oder werden sie unter Druck gesetzt, vertrauliche Dateien über ein öffentliches Wi-Fi-Netzwerk an einem Flughafen oder in einer Cafeteria zu übertragen, um ihre Deadline einzuhalten und um der Geschwindigkeit willen?

Wir treffen manchmal auf Organisationen, die aktiv versuchen, ihre Cybersicherheitskultur zu fördern, aber leider dieses eine Element vermissen: eine klare Priorisierung. Sie haben in die Ausbildung ihrer Mitarbeiter investiert, einige Prozesse gestrafft und einige andere innerhalb der organisatorischen Realität realisierbar gemacht. Aber wenn ihre Mitarbeiter sich in einer Situation wiederfinden, in der sie zwischen Sicherheit oder einer anderen organisatorischen Priorität wählen müssen, geraten sie in ein Dilemma. Oft entscheiden sie sich dafür, diese andere Priorität zu unterstützen. Diese anderen Prioritäten haben oft etwas mit Geschwindigkeit oder Produktivität zu tun.

Warum ist das so?

Wenn wir mit einem Priorisierungsdilemma konfrontiert sind, gehen wir normalerweise in unserem Kopf eine Kosten-, Risiko- und Nutzenanalyse durch.

Die Einhaltung einer Sicherheitsrichtlinie ist kostspielig in dem Sinne, dass sie zusätzliche Zeit und Mühe erfordert. Gleichzeitig könnte ein Mitarbeiter das Gefühl haben, dass es nicht besonders riskant ist, "ein paar Abkürzungen zu nehmen", vor allem, wenn er glaubt, dass ihm ein Cyberangriff niemals passieren wird (was ein weit verbreiteter Glaube unter unzureichend ausgebildeten Mitarbeitern ist). Andererseits wirkt sich ihre Produktivitätsrate direkt auf ihre Bewertungen, ihre Boni und möglicherweise auch auf ihren Beschäftigungsstatus aus. Es ist schon leicht zu erkennen, dass der Wunsch nach Produktivität höher sein wird als der Wunsch, der Sicherheit zu folgen, einfach aufgrund der wahrgenommenen Kosten und Vorteile.

Der nächste Gedanke, der in der Regel im Kopf des Mitarbeiters auftaucht, ist von der Art "wie schlimm wäre es, wenn ich diesen Sicherheitsprozess überspringe?" Wenn sie entscheiden, dass die Nichteinhaltung in Anbetracht ihrer Umstände in Ordnung ist, und sie beschließen, ihre Theorie zu testen, ist der erste Fehler bereits begangen worden. Die Chancen stehen gut, dass dieses eine Mal nichts Schlimmes passieren wird. Die Rückmeldung, die der Mitarbeiter erhält, ist jedoch, dass die Nichteinhaltung nicht schadet, und er wird darin bestärkt, dieses Verhalten zu wiederholen... und wieder... bis es zu einem kostspieligen und potenziell sehr schädlichen Vorfall kommt.

Schauen wir uns an, was diese Art des Denkens gegenüber einer anderen, erwünschteren Art hervorbringt.

Triebkräfte für nicht konformes Verhalten:

• Konkurrierende Prioritäten:

Die Unternehmensführung schätzt und unterstützt eindeutig die Produktivität oder andere konkurrierende Werte gegenüber der Sicherheit - oder kommuniziert und priorisiert die Bedeutung der Sicherheit nicht klar.

• Es gibt keinen triftigen Grund zur Einhaltung:

Viele Mitarbeiter haben kein klares Verständnis davon, was und wie sie geschützt werden müssen. Oft ist ihnen nicht klar, dass die Cybersicherheit des Unternehmens auch von ihnen abhängt. Sie haben nur eine minimale oder unzureichende Schulung zum Thema Informationssicherheit erhalten und glauben, dass ein Cybersecurity-Vorfall

o ihnen niemals passieren wird,

o dass sie keine attraktiven Ziele für einen Bedrohungsakteur sein können (Cybersicherheit ist für sie irrelevant),

o sie sind sich der Bedrohungen und des Wertes der Informationen/Systeme/Vermögenswerte, mit denen sie umgehen, nicht bewusst,

o sie glauben, dass die implementierte Informationssicherheitstechnologie ausreichend ist

• Die Kosten der Compliance sind höher als der Nutzen:

Viele Mitarbeiter sind der Meinung, dass eine Nichteinhaltung nur verpönt ist, während eine verringerte Produktivität schlimmere Folgen hat. Gleichzeitig liegt ihre Hauptpriorität und ihr Hauptaugenmerk auf der Erfüllung ihrer Arbeitsaufgaben, und da sie die Informationssicherheit nicht als ihre eigene Verantwortung wahrnehmen, bleibt sie ein zweitrangiger Gedanke. Mitarbeiter werden bereit sein, so wenig Zeit und Mühe wie möglich zu investieren, um Sicherheitsrichtlinien und -verfahren zu befolgen. Sicherheitsverantwortliche vergessen oft zu berücksichtigen, wie viel zusätzliche Arbeitsbelastung ein Sicherheitsprozess für einen Mitarbeiter bedeuten würde. Wenn es ihre Produktivität erheblich beeinträchtigt oder wenn sie viel Zeit und Mühe dafür aufwenden müssen, entscheiden sie sich oft für Abstriche.

• Es besteht eine Unfähigkeit zur Einhaltung:

Der Sicherheitsprozess oder -mechanismus ist für sie zu kompliziert, oder er lässt sich nicht gut in ihre täglichen Aktivitäten integrieren. Beispielsweise ist das Verschlüsseln oder Entschlüsseln von Dateien für einige Mitarbeiter zu kompliziert, weshalb sie diesen Schritt lieber überspringen, bevor sie eine vertrauliche Datei weitergeben. Sie werden sich des Risikos bewusst sein, sich aber trotzdem dafür entscheiden, während sie einen Weg finden, es zu rechtfertigen, indem sie denken, dass ihnen nicht gezeigt wurde, wie es geht, dass sie sich nicht daran erinnern oder dass sie in Eile sind und noch eine Menge Arbeit zu erledigen haben. Wenn mehr als ein Mitarbeiter die gleiche Ansicht und das gleiche Verhalten zeigt, sollte das Sicherheitsteam wahrscheinlich seinen Prozess überarbeiten und neu gestalten oder mehr Ressourcen in die Schulung und Unterstützung der Mitarbeiter bei der Umsetzung investieren.

Im Allgemeinen sind sich die Mitarbeiter meist über ihre Nichteinhaltung und ein gewisses Risiko, das damit verbunden ist, bewusst. Sie neigen auch dazu, die Richtlinien und Prozesse einhalten zu wollen, die von der Organisation gefordert werden. Aber auch das ist zweitrangig, denn ihre Hauptpriorität ist es, ihre Arbeit mit der geforderten Qualität, Geschwindigkeit und Effizienz zu erledigen - und dann auch noch auf sichere Art und Weise. Sicherheitsteams würden viel davon profitieren, wenn sie sich in die Lage der Mitarbeiter versetzen und dann Lösungen finden würden, die ihrer Arbeitsrealität entsprechen. Dazu müssen sie sich mit deren Einstellungen, Überzeugungen und Verhalten auseinandersetzen, um Feedback bitten und die Kommunikation fördern.

Die gute Nachricht: Sie KÖNNEN eine gute Cybersecurity-Kultur entwickeln

An diesem Punkt sollte klar werden, dass wir mit der menschlichen Natur arbeiten müssen und nicht gegen sie. Wir arbeiten gegen die menschliche Natur, wenn wir versuchen, das Verhalten von Menschen zu ändern, indem wir es einfach fordern und Prozesse festlegen und durchsetzen, ohne andere Dynamiken zu berücksichtigen, die damit in Konflikt stehen könnten. Ein Kommando zu geben und zu erwarten, dass Menschen es regelmäßig ausführen, ist kein Modell für Verhaltensänderung, es ist Computerprogrammierung. Aber Menschen arbeiten ganz anders, und ihr Entscheidungsprozess ist viel komplexer. Um jemandem dabei zu helfen, neue Gewohnheiten zu implementieren, müssen wir die Dynamik seiner Umgebung berücksichtigen, einschließlich der konkurrierenden Prioritäten, Stressoren, Überzeugungen und der anderen Elemente, die wir bereits besprochen haben. Wir müssen uns auch in ihre Lage versetzen. Sicherheitsexperten nehmen oft eine "Wir-gegen-die"-Mentalität an, wenn sie an den Endbenutzer und all die Möglichkeiten denken, wie er ihre Arbeit ruinieren kann. Aber um effektiv zu sein, müssen sie die Sache anders angehen.

Es beginnt mit verbesserter Kommunikation

CISOs und Sicherheitsteams tun sich oft schwer, mit anderen Abteilungen in Beziehung zu treten und verlassen sich auf eine einseitige Kommunikation. Im Grunde diktieren sie anderen Abteilungen, was zu tun ist. Sie legen ihren Sicherheitsplan dar, zeigen den Bedarf, die Schwachstellen und die nächsten Schritte auf, die das Unternehmen unternehmen sollte, und erwarten (aber meistens hoffen sie nur), dass die anderen Mitglieder im Besprechungsraum ihre Pläne und ihr Expertenurteil akzeptieren und unterstützen. Aber selbst wenn ihre Empfehlungen fachkundig erklärt und in jeder Hinsicht korrekt sind, finden sie sich in einer Position wieder, in der sie immer noch um das Budget, die Genehmigung und die Unterstützung kämpfen müssen, da die anderen Mitglieder des Meetings möglicherweise nicht die gleiche Begeisterung für das Empfohlene oder für Cybersicherheit im Allgemeinen haben.

CISOs und andere Informationssicherheitsverantwortliche fühlen sich oft nicht von den Geschäftsführern verstanden. Aber auch die Geschäftsleitung hat oft nicht das Gefühl, dass CISOs und Sicherheitsteams die Geschäftsziele verstehen. Auch die anderen organisatorischen Stakeholder haben ihre eigene Agenda. Damit eine effektive Kommunikation stattfinden kann, müssen beide Seiten zu einer Übereinstimmung kommen. Sie müssen Vertrauen aufbauen und eine Umgebung der Zusammenarbeit schaffen. Dazu müssen CISOs und Sicherheitsexperten zuhören und die Geschäftsziele verstehen und ihren Ansatz so gut wie möglich an diese anpassen. Sie müssen Sicherheitsinitiativen als Business Enabler kommunizieren, und nicht als notwendiges Übel.

Ähnlich verhält es sich, wenn sie anderen Abteilungen bestimmte Richtlinien und Prozesse aufzwingen wollen: Es wäre sehr vorteilhaft, ihre Kommunikation an die Bedürfnisse und Prioritäten dieser Abteilung anzupassen und mit ihnen zu sprechen und ihnen zuzuhören. Zum Beispiel sind die Marketing- und Vertriebsabteilungen oft ein schwaches Glied in der Informationssicherheit, da sie dazu neigen, mehr Informationen an Interessenten und Kunden weiterzugeben, als sie sollten. Sicherheitsexperten müssen die Priorität dieser Abteilung verstehen und sie direkt ansprechen. Fallstudien mit ein wenig zu vielen sensiblen Informationen über bestimmte Projekte mögen für eine Marketingkampagne von Vorteil sein, aber die Einhaltung von Sicherheitsstandards schafft Vertrauen und Zuverlässigkeit und zieht schließlich mehr langfristige Kunden an.

Als Sicherheitsexperte ist es eine gute Idee, sichtbar und ansprechbar zu sein. Einige Manager berichten uns von der Angewohnheit, hin und wieder in andere Büros zu gehen und die Mitarbeiter zu fragen, ob sie Fragen zu den von ihnen durchgesetzten Sicherheitsprozessen haben und ob sie ein Feedback haben. Sie berichten, dass sich diese Gespräche oft als sehr nützlich erweisen. Sicherheitsexperten müssen sicherstellen, dass jeder seine individuelle Sicherheitsverantwortung versteht und sich nicht allein auf die Technologie verlässt. Manchmal braucht es dazu nur ein paar mehr Gespräche und kleine Anpassungen.

Implementierung eines exzellenten Cyber Security Awareness Trainings

Schulungen zum Bewusstsein für Cybersicherheit können der größte Verbündete oder der größte Feind eines Unternehmens sein. Langweilige, generische und technisch ausgerichtete Sicherheitsschulungen sabotieren eine Cybersicherheitskultur. Eine Reihe von vorgefertigten, per Video aufgezeichneten Schulungen führt oft nur zu Langeweile und Beschwerden. Unternehmen entscheiden sich für sie, weil sie bequem und kostengünstig sind und helfen, ein Häkchen in das Compliance-Kästchen zu setzen. Aber bedenken Sie deren Wirkung: Die Mitarbeiter beschäftigen sich nicht mit ihnen und schon gar nicht mit dem präsentierten Material. Einige der Informationen in diesen Schulungen können so irrelevant für die Arbeitsrealität der Mitarbeiter sein, dass sie bald den gesamten Abschnitt (oder die Schulung) als "nicht relevant" für sie abtun. Letztendlich wird das Thema Cybersicherheit als "nicht relevant" eingestuft.

Wir haben viele Teams von Mitarbeitern erlebt, die zunächst eine dieser Schulungen erhalten hatten. Sie waren der Meinung, dass Cybersecurity ein anstrengendes und vergebliches Unterfangen ist, da sie der Meinung waren, dass sie entweder nicht angegriffen werden oder nicht in der Lage sind, einen Angriff abzuwehren. Sie glaubten, dass sie sich zu sehr für etwas anstrengen müssen, das unvermeidlich ist. Oder sie waren einfach nicht an dem Thema interessiert, da sie das Gefühl hatten, dass die besprochenen Themen nicht auf ihre Realität und ihr Arbeitsumfeld anwendbar waren.

Ein exzellentes Cyber Security Awareness Training hingegen bewirkt das Gegenteil. Sie ist auf die Branche und das Arbeitsumfeld der Zielgruppe zugeschnitten. Sie verwendet Fallstudien und Beispiele, mit denen die Teilnehmer etwas anfangen können und die auf ihr Arbeitsleben zutreffen. Außerdem ist er ansprechend, unterhaltsam und interaktiv. Alle Menschen haben eine angeborene Neugierde, und ein guter Trainer muss diese nutzen, sie auslösen und darauf aufbauen. Schließlich müssen die im Kurs vermittelten Lektionen und Best Practices für die Teilnehmer einigermaßen einfach und realistisch umsetzbar sein. Das Ziel ist eine interessante und einprägsame Schulungserfahrung.

Nutzen Sie die Psychologie von Gruppen und den Sozialen Beweis (Social Proof)

Menschen neigen dazu, sich das Verhalten anderer Menschen, die zu ihrer Gruppe gehören, zum Vorbild zu nehmen. Es ist ein grundlegender Stammesinstinkt, dem wir alle unterliegen. Wenn wir Gruppen bilden, übernehmen wir gruppenspezifische Verhaltensweisen, um uns zu verbinden und besser miteinander zu kommunizieren. Diese Normen, die sich innerhalb unserer Gruppen bilden, werden oft von Personen angeführt, die der Rest der Gruppe als ihre Anführer wahrnimmt.

Deshalb ist es so wichtig, die Unterstützung der Führungsebene zu haben, wenn man versucht, eine Cybersicherheitskultur zu etablieren. Andere Mitarbeiter sehen zu ihren Managern, Führungskräften und Teamkollegen auf und werden nicht nur spiegeln, was diese befürworten, sondern auch sehen, was sie tun. Das Sammeln von Befürwortern in der Organisation, zu denen andere Mitarbeiter aufschauen, wird dazu beitragen, einen besseren Cybersicherheitsstandard innerhalb der Organisation zu bilden und eine Cybersicherheitskultur schneller und einfacher zu etablieren.

Fazit

Eine Verhaltensänderung braucht Zeit und ist sicherlich auch eine Herausforderung. Aber sie ist auch die Investition wert. Die Veränderung wird nicht über Nacht geschehen, sondern schrittweise, indem man in die Cybersecurity-Kultur und die Denkweise der Organisation investiert. Mit der Zeit werden Sie schrittweise Veränderungen in der Art und Weise bemerken, wie die Mitarbeiter handeln und über Sicherheit denken, sowohl bei ihren alltäglichen Aktivitäten als auch, wenn sie potenziellen Bedrohungen begegnen. Die Belegschaft entwickelt sich schließlich zu einer aktiven menschlichen Firewall, die sichere Verhaltensweisen so weit akkumuliert, dass geeignete Reaktionen auf Bedrohungen zur zweiten Natur werden. Und das ist wahrscheinlich der größte Vorteil. Ab einem bestimmten Punkt wird die Implementierung von Sicherheitsprozessen keine mentale Energie und Mühe mehr kosten - sie wird automatisch erfolgen. Die Mitarbeiter werden sensibler für das Erkennen von Bedrohungen und besser in der Lage sein, mit ihnen umzugehen und sie zu melden. Sie werden zu einer starken Sicherheitsschicht.

Eine Verhaltensänderung wird stattfinden, wenn die Cybersicherheitspraktiken innerhalb der täglichen Arbeitsabläufe der Mitarbeiter realisierbar sind und wenn ihre Organisation sie unterstützt. Und natürlich muss das Cybersicherheitsteam während dieser Reise auch lernen, zuzuhören und eine Umgebung der Zusammenarbeit und des Vertrauens mit den anderen Abteilungen zu schaffen.

Sicherheitsexperten beklagen oft, dass es sich nicht lohnt, in Mitarbeiter zu investieren, weil sie ihr Verhalten nicht ändern wollen. Aber vielleicht sind es auch wir, die Sicherheitsprofis, die unsere Herangehensweise anpassen müssen. So wie es Mr. Johnston getan hat.


You may visit:

https://www.cyber-risk-gmbh.com/Training.html

https://www.cyber-risk-gmbh.com/Online_Training.html

https://www.cyber-risk-gmbh.com/In_House_Training.html







Our Services

Cyber security is ofter boring for employees. We can make it exciting.


Online Cybersecurity Training

Online Training

Recorded on-demand training and live webinars.

In-house Cybersecurity Training

In-house Training

Engaging training classes and workshops.

Social Engineering Cybersecurity Training

Social Engineering

Developing the human perimeter to deal with cyber threats.


For the Board Cybersecurity Training

For the Board

Short and comprehensive briefings for the board of directors.


Cybersecurity Assessment

Assessments

Open source intelligence (OSINT) reports and recommendations.


High Value Targets Cybersecurity Training

High Value Targets

They have the most skilled adversaries. We can help.





Which is the next step?

1

You contact us

2

We discuss

3

Our proposal

4

Changes and approval

5

We deliver









Cyber Risk GmbH, Cyber Risk Awareness and Training