Gastbeitrag

Über den Aufbau einer starken, bewussten und nachhaltigen Sicherheitskultur

, München, Knowbe4 | Autor: Perry Carpenter

Über den Aufbau einer starken, bewussten und nachhaltigen Sicherheitskultur

4 Attribute für eine gemeinsame Unternehmens- und Sicherheitskultur

Die Sicherheitskultur ist – und wird es immer sein – ein Teilbestandteil der Unternehmenskultur. Mit anderen Worten, die Unternehmenskultur wird sich jedes Mal über die Ziele des Sicherheitsbewusstseins „hinwegsetzen“. Ein Ausbrechen aus diesem Teufelskreis gelingt nur dann, wenn Unternehmen in der Lage sind, sicherheitsbasiertes Denken und Werte in das Gefüge der übergreifenden Unternehmenskultur einzubinden. Aber wie gelingt es letztlich eine starke, bewusste und nachhaltige Sicherheitskultur aufzubauen?

Es gibt vier Geheimnisse des Erfolgs, die im Folgenden beschrieben werden.

1. Machen Sie eine Bestandsaufnahme

Ohne Orientierung und ohne den Weg zu kennen, wird man sich sicher verlaufen. Der Schlüssel zur Implementierung ist die Nutzung eines Rahmens, um sicherzustellen, dass Unternehmen die Dinge strukturiert angehen, anstatt sie einfach nachzubauen. Besonders in großen global operierenden Unternehmen empfehle ich, eine Reihe von Interviews oder Schnellumfragen bei verschiedenen Mitarbeitern durchzuführen, um zu verstehen, wie verschiedene Abteilungen und Bereichsleiter Sicherheit sehen, Richtlinien und Best Practices verstehen und was sie wirklich für wichtig halten.

Perry Carpenter, Chief Evangelist und Strategy Officer bei KnowBe4

Es hilft ihnen auch zu verstehen, ob ihre wichtigsten Führungskräfte darin übereinstimmen und ob es einige politische oder logistische Hürden gibt, die beim Erstellen eines Plans überwunden werden müssen.

Mit diesem Hintergrundwissen können Sicherheitsverantwortliche damit beginnen, die Jahresziele zu erstellen. Mir gefällt der SMARTER-Zielsetzungsrahmen, der von mehreren Produktivitäts-Gurus vorgeschlagen wurde. Es gibt verschiedene Versionen des SMARTER-Frameworks – eine empfehle ich, die Michael-Hyalt-Version: SMARTER = spezifisch, messbar, verwertbar, riskant, zeitgesteuert, aufregend, relevant.

2. Betrachten Sie das Sicherheitsbewusstsein aus der Sicht der Unternehmenskultur

Organisationskultur und Sicherheitskultur sind nicht ein und dasselbe. Sie müssen jedoch eng miteinander verbunden sein. Organisationskultur ist nicht die Summe von Rollen, Prozessen und Messungen; sie ist die Summe von unbewussten menschlichen Verhaltensweisen, die Menschen aufgrund früherer Erfolge und kollektiv gehaltener Überzeugungen wiederholen. Ebenso ist die Sicherheitskultur nicht (nur) mit „Bewusstsein“ und „Training“ verbunden; sie ist auch die Summe der unbewussten menschlichen Verhaltensweisen, die Menschen aufgrund früherer Erfahrungen und kollektiv gehaltener Überzeugungen wiederholen.

Kultur ist geteilt, gelernt und anpassungsfähig, aber sie kann auch beeinflusst werden. Es braucht eine Gruppenarbeitskollektivität und beginnt mit den Abteilungsleitern. Um Veränderungen und Verhaltensweisen zu beeinflussen, müssen diese sich der bestehenden Unternehmenskultur bewusst sein und diese von innen nach außen herausstellen. Hat das Unternehmen eine Marketingorganisation, die bei der internen Kommunikation hilft? Wenn ja, verstehen die Mitarbeiter aus dem Marketing, wie sie die Kommunikationsmethoden, Medien und das Branding nutzen. Es ist so wichtig, dass diese Kommunikation mit der etablierten Stimme/dem Ton des Unternehmens spricht, so dass sie nicht als unverbunden und (am schlimmsten von allen) irrelevant angesehen wird. Sicherheitsverantwortliche müssen außerdem eine Vorstellung davon bekommen, wo es bereichsspezifische, abteilungsbezogene und regionale Nuancen gibt. Am besten arbeiten Unternehmen innerhalb ihrer spezifischen kulturellen Rahmenbedingungen und innerhalb jedes dieser Segmente. Unternehmen sollten immer auf der Suche nach bestehenden Kommunikationskanälen sein, auf die sie aufsetzen können (z.B. bestehende Meetings, Executive-Videos, etc.), so dass die Botschaft mit den anderen unternehmensbezogenen Nachrichten verwoben wird.

3. Nutzung von Verhaltensmanagement-Prinzipien, um eine gute Sicherheitshygiene zu gestalten

Sicherheitsbewusstsein und Sicherheitsverhalten sind nicht dasselbe. Das Security Awareness-Programm sollte sich nicht nur auf die Bereitstellung von Informationen konzentrieren. Es gibt viele Dinge, die den Menschen bewusst, aber vielleicht einfach nicht wichtig genug sind – Sicherheitsverantwortliche müssen die Menschen dazu bringen, sich auch wirklich um die Sicherheit zu kümmern.

Diese Verhaltensmanagementpraktiken müssen eingeführt werden, wenn die grundlegende Motivation für das Programm darin besteht, das Gesamtrisiko von menschenbezogenen Sicherheitsvorfällen im Unternehmen zu reduzieren. Die Idee ist, dass ansprechende Erlebnisse für Benutzer geschaffen werden, um bestimmte Verhaltensweisen zu fördern.

Ein Beispiel dafür sind simulierte Phishing-Plattformen. Diese destillieren einige der Grundlagen des Verhaltensmanagements zu einer einfach zu implementierenden Plattform. Diese ermöglicht es Unternehmen, simulierte Social-Engineering-Angriffe an die Benutzer zu senden und dann sofort korrigierende und rehabilitative Maßnahmen einzuleiten, wenn der Benutzer Opfer des simulierten Angriffs wird. Wenn dies häufig durchgeführt wird, werden Unternehmen eine dramatische Verhaltensänderung feststellen.

4. Seien Sie realistisch, was kurzfristig erreichbar ist, und optimistisch, was die langfristige Auszahlung betrifft

Sicherheitsverantwortliche müssen realistische Optimisten in ihren Unternehmen sein. Sie müssen ihren Platz und ihren Einflussbereich kennen sowie stets daran denken, dass Kultur ganz oben beginnt. Wichtig ist, dass sie die Grundlagen ihrer Unternehmenskultur verstehen und dann eine maßgeschneiderte Roadmap für das Sicherheits-Kulturmanagement erstellen. Dazu müssen vier Bereiche ausgewertet werden:

  • „Wie wir Entscheidungen treffen“ beschreibt den allgemeinen Führungsstil und wie sich dies auf die Ergebnisse der Organisationskultur auswirkt.

  • „Wie wir uns engagieren“ konzentriert sich darauf, wie Menschen intern und mit externen Interessengruppen zusammenarbeiten, um ihre Ziele zu erreichen.

  • „Wie wir messen“ beschreibt Kennzahlen zur Unternehmensleistung und wie sie sich auf die Unternehmensleistung auswirken.

  • „Wie wir arbeiten“ definiert den Arbeitsstil von Teams, die sich auf die organisatorischen Ergebnisse auswirkt, z.B. die Art und Weise wie Lösungen erarbeitet und Probleme gelöst werden.

Fazit

Durch das Verständnis dieser vier Attribute der Unternehmenskultur können Sicherheitsverantwortliche und Geschäftsführer fundierte Entscheidungen treffen, wenn sie versuchen, Kulturen zu verändern und die allgemeine Verteidigungsfähigkeit bzw. Resilienz eines Unternehmens zu verbessern.

Sicherheitsverantwortliche haben dann die gesamte Planung im Griff, sie haben sich kleinere Ziele gesetzt, verstehen die Nuancen der Organisation und konzentrieren sich auf die Schaffung eines echten, nachhaltigen Wandels. Viele Aspekte des Programms werden auf das ganze Jahr über verteilt sein und deshalb ist es so wichtig, die Bemühungen kontinuierlich fortzusetzen. Sicherheitsverantwortliche müssen sich darauf konzentrieren, ein ganzes Unternehmen zu trainieren; und das bedeutet, dass den Mitarbeitern vorgelebt werden muss, was man von ihnen verlangt.

Von Perry Carpenter, Chief Evangelist und Strategy Officer bei KnowBe4