Cybersecurity

Wie können Unternehmen eine sicherheitsbewusste Kultur fördern?

Wie können Unternehmen eine sicherheitsbewusste Kultur fördern?

Von Anaïs Beaucousin, Verantwortliche für Unternehmenssicherheit, ADP International

In der sich ständig weiterentwickelnden Landschaft der Unternehmenssicherheit hat die Rolle des Chief Business Security Officer (CBSO) einen tiefgreifenden Wandel erfahren. Während die Position lange Zeit gleichbedeutend mit dem Schutz von Geschäftsinteressen war, erfordert die zunehmende Komplexität von Cyber-Bedrohungen, Datensicherheitsmanagement und geopolitischen Ereignissen nun zusätzliche Fähigkeiten, Fokus und Verantwortung.

Anaïs Beaucousin, Verantwortliche für Unternehmenssicherheit, ADP International

Der CBSO von heute steuert viele verschiedene Risiken – von Betrug und Cyberkriminalität bis hin zu Naturkatastrophen und geopolitischen Problemen – über verschiedene Geschäftsbereiche hinweg. Der Schlüssel liegt in der vollständigen Konvergenz, indem er seine Fähigkeiten in den Bereichen IT, Cyberkriminalität und Strafverfolgung mit seinem Geschäftssinn verbindet, um eine umfassende Sicherheitsabdeckung eines Unternehmens zu gewährleisten. Das bedeutet, dass sie nicht nur als Sicherheitsberatende fungieren, sondern auch eine vielseitige Führungspersönlichkeit sind, die die Belegschaft dazu inspirieren kann, gemeinsam die Verantwortung für die Sicherheit zu übernehmen. Das erfordert vielfältige Fachkenntnisse, Anpassungsfähigkeit und die Einsicht, dass im Bereich der Sicherheit jeder eine wichtige Rolle spielt. Wo sollten Firmen also beginnen?

1. Die Sicherheitsstrategie an der Unternehmensvision ausrichten

Die Hauptaufgabe eines CBSO besteht darin, das Wachstum der Firma zu fördern und gleichzeitig mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten. Um dies zu erreichen, müssen sie die Sicherheitspraktiken mit der Unternehmensstrategie und -vision in Einklang bringen. Nehmen wir als Beispiel die Cyberkriminalität: Cyberkriminelle Gruppen haben heute oft Geschäftsmodelle, Strukturen und Funktionen, die denen von normalen Firmen ähneln. Obwohl diese Bedrohungen im Verborgenen agieren, wächst das Bewusstsein der Kunden und der Öffentlichkeit, das über die Cybersecurity-Experten und Expertinnen innen hinausreicht. Daher kann die Cybersicherheit nicht als Silo funktionieren, sondern muss in die Struktur des Unternehmens eingebettet werden. Wenn Führungskräfte ihre Sicherheitsstrategie mit ihrer Unternehmensvision in Einklang bringen, tragen sie nicht nur zum Schutz des Unternehmens und ihrer Kunden bei, sondern können auch den Geschäftserfolg steigern und ihre Marke schützen.

2. Die Sicherheit gewährleisten

Eine Firma kann sich gegen potenzielle Bedrohungen und Schwachstellen wappnen, indem sie der Integration von Sicherheitsmaßnahmen in allen Bereichen des Betriebs Priorität einräumt. Sicherheitsteams sollten Entwickler regelmäßig schulen, um sicherzustellen, dass die Sicherheit von Anfang an in die Produktentwicklung integriert wird. Hier ist Compliance entscheidend, um die kontinuierliche Einhaltung von Datenvorschriften auf allen globalen Märkten zu gewährleisten. Wenn es richtig gemacht wird, kann dies dazu beitragen, das Vertrauen von Arbeitskräften, Kunden, Lieferanten und Partnern zu stärken.

3. Den Bedrohungen zwei Schritte voraus sein

Um Bedrohungen immer zwei Schritte voraus zu sein, brauchen Firmen ein Team hervorragender Sicherheitsexpertinnen und -Experten und einen soliden Plan, um den reibungslosen Geschäftsbetrieb aufrechtzuerhalten, selbst wenn etwas schiefläuft. Die Zusammenarbeit mit dem Unternehmen ist entscheidend. Indem das Sicherheitsteam aktiv am Geschäftsleben teilnimmt, kann es bei Bedarf wertvolle Einblicke und fundierte Vorschläge liefern. Die Planung der Geschäftskontinuität geht über die Grenzen des Unternehmens hinaus und umfasst auch die Zusammenarbeit mit Drittanbietern. In Momenten globaler Störungen wie der COVID-19-Pandemie ist die Zusammenarbeit mit Drittanbietern von entscheidender Bedeutung, um einen reibungslosen Betrieb für Kunden zu gewährleisten. Führungskräfte sollten jedoch sicherstellen, dass diese die gleichen strengen Sicherheitsprozesse einhalten, die auch innerhalb des Unternehmens erwartet werden. In der heutigen Geschäftswelt gibt es keinen Platz für Unterbrechungen. Die Kunden brauchen die Gewissheit, dass die Organisation über das notwendige Personal, die Technologie und die Prozesse verfügt, um ihre Interessen zu schützen.

4. Es persönlich machen

Zwar ist der Besitz modernster Sicherheitstools für den Schutz entscheidend, doch ist es ebenso wichtig, Schwachstellen jenseits der Technologie zu erkennen und zu beseitigen. Menschliches Versagen, eine bedeutende Schwachstelle, wird häufig von Cyberkriminellen ausgenutzt, die Social-Engineering-Taktiken wie Phishing oder die Vorgabe, Insider zu sein, einsetzen, um an sensible Informationen zu gelangen. Im Bereich der generativen KI (Gen-KI) können menschliche Fehler ebenfalls Schwachstellen aufdecken, die von Cyber-Bedrohungen ausgenutzt werden können. Firmen sollten daher eng mit den Entwicklerinnen und Entwickler zusammenarbeiten, um ihre Verteidigungsmaßnahmen zu verstärken. Es ist wichtig, den Einsatz neuer Technologien wie Gen-KI sorgfältig zu überwachen, um die Sicherheitsmaßnahmen zu verbessern und sicherzustellen, dass alle Verbesserungen ohne Probleme erfolgen.

Um die Sicherheit am Arbeitsplatz wirklich zu verbessern, muss jeder verstehen, warum sie wichtig ist und was sie für ihn bedeutet. Ein guter Anfang ist die Umwandlung des Themas Sicherheit von einem Bürogespräch in eine überzeugende Erzählung, die uns alle in die Verantwortung nimmt. Dies können Führungskräfte erreichen, indem sie mit der Belegschaft über die Auswirkungen der Sicherheit in ihren jeweiligen Funktionen sprechen. Wenn sie wissen, wie sich ihre Verantwortung auf ihre Marke, ihre Kunden und ihre Kollegschaft auswirken kann, werden sie eher bereit sein, Maßnahmen zu ergreifen. Arbeitgeber können auch Geschichten und Beispiele aus dem wirklichen Leben erzählen, die die potenziellen Auswirkungen von Sicherheitsmängeln am Arbeitsplatz verdeutlichen. Führungskräfte sollten vergleichbare Situationen erzählen, in denen sich die Arbeitskräfte leicht wiederfinden können. Dabei kann es sich um Vorfälle innerhalb der Branche oder um analoge Szenarien handeln, die die Auswirkungen auf Einzelpersonen und Teams verdeutlichen.

Eine weitere nützliche Technik sind interaktive Schulungen, die Rollenspiele oder spielerische Szenarien beinhalten. Firmen können auch relevante Inhalte in ihre internen Kommunikationskanäle aufnehmen. Sie können verschiedene Sicherheitsthemen innerhalb und außerhalb des Arbeitsplatzes behandeln, z. B. die Sicherheit von Kindern im Internet. Diese Themen tragen dazu bei, die Arbeitskräfte über die Bedeutung von Sicherheit in ihrem Leben aufzuklären und ihnen zu zeigen, wie sie sich und andere in verschiedenen Situationen schützen können. Ebenso wichtig ist es, eine gut definierte Kommunikationsstrategie zu haben. Führungskräfte müssen in der Lage sein, zu entscheiden, welche, wann und wie viele Informationen sie an ihre Belegschaft weitergeben, ohne unnötige Panik zu verursachen.

5. Testen, messen, wiederholen

Die regelmäßige Messung der Sicherheitsleistung ist für eine starke Verteidigung unerlässlich. Dies kann tägliche Bewertungen von Angriffsversuchen und potenziellen Schwachstellen sowie wöchentliche oder monatliche Berichte umfassen, um einen umfassenden Überblick zu erhalten. Durch die regelmäßige Weitergabe von Berichten an die verschiedenen Geschäftsbereiche wird sichergestellt, dass die Beteiligten ein vollständiges Bild der Risikolandschaft der Firma erhalten, wodurch eine Kultur des Sicherheitsbewusstseins und der Reaktionsfähigkeit gefördert wird. Arbeitgeber sollten die Aktualisierungen gegebenenfalls auch an die Belegschaft weitergeben. Je mehr sie wissen, desto besser können sie vorbereitet sein.

Fazit

Die Beherrschung der CBSO-Rolle geht über technische Fähigkeiten hinaus – sie erfordert ständiges Lernen, Informiertheit über Cybersicherheitstrends und ein Verständnis der organisatorischen Feinheiten. Dieser vernetzte Ansatz ermöglicht eine effektive Antizipation und Abschwächung von Sicherheitsauswirkungen.

Kontinuierliche Weiterbildung ist auch für Führungskräfte, Arbeitskräfte und Partner unerlässlich. Der Schutz der Vermögenswerte und der Marke einer Firma ist eine gemeinsame Verantwortung, und wie bereits betont, besteht das Ziel darin, die Belegschaft vorzubereiten und nicht, ihnen Angst einzujagen. Die Umsetzung der hier skizzierten Strategien kann dazu beitragen, einen bedeutenden Unterschied zu machen – es sollte keine beängstigende Aufgabe sein, sondern eher eine gemeinsame Anstrengung, die durch kleine Maßnahmen im Laufe der Zeit erreicht wird.