Sicherheitskultur muss bewusst und nachhaltig seinDer Faktor Mensch entscheidet
30. Oktober 2018Die Sicherheitskultur eines Unternehmens stellt eine Teilkomponente der größeren Organisationskultur dar. Mit anderen Worten, Unternehmensverantwortliche müssen sicherheitsbasiertes Denken und Werte in das Gefüge der Firmenkultur einbinden, wenn die Ziele im Bereich des Sicherheitsbewusstseins erreicht werden sollen. Es gibt vier Erfolgsgeheimnisse, wie es gelingen kann, eine starke, bewusste und nachhaltige Sicherheitskultur aufzubauen.
Unternehmen agieren nicht in einer unregulierter Umgebung. Es gilt die verschiedensten Vorgaben und Regularien zu beachten – vor allem, wenn es um die Sicherheit des Unternehmens sowie der IT-Umgebung geht. Hier sollten Organisationen darauf setzen, eine starke und nachhaltige Sicherheitskultur aufzubauen. Das wird gelingen, wenn die vier wichtigsten Kriterien beachtet werden.
Wissen, woher du kommst und wohin du gehst
Der Schlüssel zur erfolgreichen Einbindung der Sicherheits- in die Unternehmenskultur besteht darin, ein Richtlinienwerk zu nutzen, um sicherzustellen, dass man sich den Dingen strukturiert nähert, anstatt sich die einzelnen Bestandteile einfach zusammenzustellen. Besonders in großen weltweit tätigen Unternehmen ist es wichtig, eine Reihe von Interviews oder schnellen Umfragen durchzuführen, um zu verstehen, wie verschiedene Abteilungen und Führungskräfte das Thema Sicherheit sehen, Richtlinien und Best Practices verstehen und was sie wirklich für wichtig erachten. Die Ergebnisse werden aufdecken, ob die Schlüsselpersonen sich untereinander einig sind und ob es einige politische oder logistische Hindernisse gibt, die Unternehmen bei der Erstellung eines Umsetzungsplans überwinden müssen.
Sobald diese Erkenntnisse verinnerlicht wurden, geht es los und die Ziele für das Jahr werden erstellt. Hilfreich kann der SMARTER-Zielsetzungsrahmen sein, der von mehreren Produktivitäts-Gurus vorgeschlagen wurde. Es gibt ein paar verschiedene Versionen des SMARTER-Frameworks – eine, die hier besonders zu empfehlen ist, ist die Michael-Hyalt-Version. SMARTER steht für specific, measurable, actionable, risky, time-keyed, exciting, relevant (also in der deutschen Übersetzung für spezifisch, messbar, verwertbar, riskant, zeitgesteuert, aufregend, relevant).
Sicherheitsbewusstsein mit Hilfe der Unternehmenskultur überprüfen
Obwohl Organisations- und Sicherheitskultur nicht dasselbe sind, sollten sie eng miteinander verbunden sein. Manchmal herrscht ein Missverständnis darüber vor, was Organisationskultur wirklich ist. Es handelt sich dabei um die Summe der unterbewussten menschlichen Verhaltensweisen, die Menschen aufgrund früherer Erfolge und kollektiver Überzeugungen immer wieder wiederholen. Es ist nicht die Summe von Rollen, Prozessen und Messungen. Ebenso ist die Sicherheitskultur nicht (nur) mit „Bewusstsein“ und „Training“ verbunden; sie ist auch die Summe der unbewussten menschlichen Verhaltensweisen, die Menschen aufgrund früherer Erfahrungen und kollektiv gehaltener Überzeugungen wiederholen.
Während Kultur geteilt, gelernt und angepasst wird, kann sie genauso beeinflusst werden. Es braucht eine Gruppenarbeitskollektivität und beginnt mit den verantwortlichen Abteilungsleitern. Die bestehende Kultur muss der Treiber sein, um Veränderungen und Verhaltensweisen rund um die Sicherheitskultur zu beeinflussen. Wenn ein Unternehmen beispielsweise eine Marketingorganisation hat, die bei der internen Kommunikation hilft, dann muss diese verstehen, wie sie die Kommunikationsmethoden, Formate und das Branding nutzt. Sie müssen dies tun, damit „Ihre“ Kommunikation mit der etablierten Stimme/Ton des Unternehmens spricht; auf diese Weise werden sie nicht als unzusammenhängend und (vor allem) irrelevant angesehen.
Die Abteilungsleiter müssen auch eine Vorstellung davon bekommen, wo es bereichsspezifische, abteilungsbezogene und regionale Nuancen gibt. Arbeiten diese innerhalb der spezifischen kulturellen Rahmenbedingungen jedes dieser Segmente. Um die Dinge einfacher und effizienter zu gestalten, wissen sie, welche Kommunikationskanäle im Unternehmen vorhanden sind, damit diese mit Plug-Ins ergänzen werden können (z.B. bestehende Meetings, Executive Videos, etc.).
Prinzipien des Verhaltensmanagements gestalten gute Sicherheitshygiene
Es gibt Abteilungsleiter die zu sagen pflegen: „Nur weil du es weißt, bedeutet das nicht, dass es dich interessiert!“ Das bedeutet in letzter Konsequenz, dass Security Awareness und Sicherheitsverhalten nicht dasselbe sind. Das Security Awareness-Programm sollte sich nicht nur auf die Bereitstellung von Informationen konzentrieren. Es gibt viele Dinge, die den Menschen bewusst sind, aber vielleicht einfach nicht wichtig sind – es geht vielmehr darum, die Menschen dazu zu bringen, sich zu kümmern.
Falls sich das Security Awareness-Programm auf die Reduzierung des Gesamtrisikos von menschenbezogenen Sicherheitsvorfällen im Unternehmen konzentriert, sind diese Verhaltensmanagementpraktiken einzuführen. Die Verantwortlichen müssen ansprechende Erlebnisse für die Benutzer schaffen, um bestimmte Verhaltensweisen zu fördern.
Simulierte Phishing-Plattformen sind ein gutes Beispiel für ein Sicherheitskulturprogramm. Sie destillieren einige der Grundlagen des Verhaltensmanagements zu einer einfach zu implementierenden Plattform, mit der Security-Awareness-Trainer simulierte Social-Engineering-Angriffe an die Benutzer senden und dann sofort korrigierende und rehabilitative Maßnahmen einleiten können, wenn der Benutzer Opfer des simulierten Angriffs wird. Wer dies häufig tut, wird eine dramatische Verhaltensänderung feststellen.
Denke realistisch über das Kurzfristige und optimistisch über das Langfristige nach
Security Awareness-Trainer müssen realistische Optimisten in ihrem Unternehmen sein, die ihren Platz und ihren Einflussbereich kennen, und daran denken, dass die Kultur ganz oben beginnt. Sie müssen die Grundlagen ihrer Kultur verstehen und dann eine maßgeschneiderte Roadmap für das Sicherheitskulturmanagement erstellen. Dazu müssen sie vier Bereiche auswerten:
- „Wie wir uns engagieren“ konzentriert sich darauf, wie Menschen intern und mit externen Interessengruppen zusammenarbeiten, um ihre Ziele zu erreichen.
- „Wie wir Entscheidungen treffen“ beschreibt den allgemeinen Führungsstil und wie sich dies auf die Ergebnisse der Organisationskultur auswirkt.
- „Wie wir arbeiten“ definiert den Arbeitsstil von Teams, wie Lösungen erarbeitet und Probleme gelöst werden, was sich auf die organisatorischen Ergebnisse auswirkt.
- „Wie wir messen“ beschreibt Kennzahlen zur Unternehmensleistung und wie sie sich auf die Unternehmensleistung auswirken.
Durch das Verständnis dieser vier Attribute der Unternehmenskultur können Sicherheitsleiter und Unternehmensführer fundierte Entscheidungen treffen, wenn sie versuchen, Kulturen zu verändern und die allgemeine Verteidigung eines Unternehmens zu verbessern.
Perry Carpenter ist Chief Evangelist und Strategy Officer bei KnowBe4