Schaffung einer starken, cyber-sicheren Organisation

Illustration: Absmeier, Djbagaha

Angesichts unserer modernen Abhängigkeit von Technologie und Sicherheit würde es niemand wagen, diese Aussage zu machen. Jeder weiß, wie wichtig die Sicherheit ist und wie sie in alle Aktivitäten eines Unternehmens eingebettet sein muss. Ein Blick in die Nachrichten genügt, um zu erfahren, dass die Datenpanne des Tages mit einer Sicherheitslücke in einer Anwendung zusammenhängt. Gehen Sie zur Abteilung für Informationssicherheit, und Sie werden von dem jüngsten Fehler eines Mitarbeiters hören, der zu einem Datenverlust geführt hat. Das Thema Sicherheit ist weit verbreitet, aber die Sicherheitskultur hat mit der Bedrohungslage nicht Schritt gehalten.

Tim Ferriss definierte Kultur als das, was passiert, wenn Menschen sich selbst überlassen werden. Dies trifft auf die Sicherheitskultur zu, wenn wir »mit Sicherheit« in diese Definition einfügen: Sicherheitskultur ist das, was mit der Sicherheit geschieht, wenn die Menschen sich selbst überlassen sind. Treffen sie die richtigen Entscheidungen, wenn sie vor der Frage stehen, ob sie auf einen Link klicken sollen? Kennen sie die Schritte, die durchgeführt werden müssen, um sicherzustellen, dass ein neues Produkt oder Angebot vor der Auslieferung sicher ist?

Anzeige

 

 

Aufbau einer gesunden Sicherheitskultur

Die Sicherheitskultur eines Unternehmens muss gepflegt und gehegt werden. Sie ist nichts, was sich organisch entwickelt. Sie müssen in eine Sicherheitskultur investieren. Eine nachhaltige Sicherheitskultur ist mehr als nur ein einzelnes Ereignis. Wenn eine Sicherheitskultur nachhaltig ist, verwandelt sie Sicherheit von einem einmaligen Ereignis in einen Lebenszyklus, der für immer Sicherheitserträge generiert.

Eine nachhaltige Sicherheitskultur hat vier entscheidende Merkmale. Erstens ist sie zielgerichtet und disruptiv. Das Hauptziel einer Sicherheitskultur ist die Förderung von Veränderungen und besserer Sicherheit, daher muss sie die Organisation stören und eine Reihe von Maßnahmen zur Förderung der Veränderungen vorsehen. Zweitens: Sie ist ansprechend und macht Spaß. Die Mitarbeiter wollen sich an einer Sicherheitskultur beteiligen, die Spaß macht und eine Herausforderung darstellt. Tech6 Drittens: Sie ist lohnend. Damit Menschen ihre Zeit und Mühe investieren, müssen sie wissen, was sie im Gegenzug erhalten. Viertens: Die Investition zahlt sich aus. Der Grund, warum man sich mit Sicherheit beschäftigt, ist die Verbesserung eines Angebots und die Verringerung von Schwachstellen; wir müssen ein Vielfaches der investierten Mühe zurückbekommen.

Eine starke Sicherheitskultur wirkt sich nicht nur auf die täglichen Abläufe aus, sondern legt auch fest, wie sich die Sicherheit auf die Dinge auswirkt, die Ihr Unternehmen anderen anbietet. Bei diesen Angeboten kann es sich um Produkte, Dienstleistungen oder Lösungen handeln, aber sie müssen in allen Teilen mit Sicherheit ausgestattet sein. Eine nachhaltige Sicherheitskultur ist beständig. Sie ist kein einmaliges Ereignis im Jahr, sondern in alle Ihre Aktivitäten eingebettet. Warum braucht eine Organisation eine Sicherheitskultur? Die wichtigste Antwort ist etwas, das wir alle tief in uns wissen. In jedem System ist der Mensch immer die schwächste Stelle. Die Sicherheitskultur ist in erster Linie für die Menschen da, nicht für die Computer. Die Computer tun genau das, was wir ihnen sagen. Die Herausforderung liegt bei den Menschen, die auf Dinge klicken, die sie per E-Mail erhalten, und alles glauben, was man ihnen erzählt. Die Menschen brauchen einen Rahmen, um zu verstehen, was das Richtige für die Sicherheit ist. Im Allgemeinen wollen die Menschen in Ihrem Unternehmen das Richtige tun – sie müssen nur unterrichtet werden.

 

Unabhängig davon, wo eine Organisation auf dem Spektrum der Sicherheitskultur steht, gibt es glücklicherweise Dinge, die getan werden können, um die Kultur zu verbessern.

 

  1. Verankerung des Konzepts, dass Sicherheit für alle gilt

Viele Unternehmen sind der Meinung, dass die Sicherheitsabteilung für die Sicherheit zuständig ist. Eine nachhaltige Sicherheitskultur erfordert, dass jeder in der Organisation mitmacht. Jeder muss sich als Sicherheitsverantwortlicher fühlen. Dies ist eine Sicherheitskultur für alle. Die Sicherheit gehört allen, von den Führungskräften bis zu den Lobby-Botschaftern. Jeder hat einen Anteil an der Sicherheitslösung und der Sicherheitskultur des Unternehmens.

Samantha Davison, Managerin für Sicherheitsprogramme bei Uber, sagt: »Bei Uber versuchen wir, die Sicherheitserfahrungen unserer Mitarbeiter zu verändern. Durch die Schaffung von Programmen, die auf die Region, die Abteilung und die Rolle zugeschnitten sind, verstehen unsere Mitarbeiter, dass Sicherheit ein Teil ihrer Geschichte und unserer Kultur ist.« Dies ist ein Beispiel für ein Unternehmen, das wirklich der Meinung ist, dass Sicherheit für alle gilt, und das Sicherheit in alles einbaut, was es tut.

Sie können diese »All-in«-Mentalität erreichen, indem Sie die Sicherheit auf höchster Ebene in Ihre Vision und Mission einbeziehen. Daran können die Mitarbeiter erkennen, worauf sie sich konzentrieren sollten. Aktualisieren Sie Ihre Vision oder Ihr Unternehmensziel, um klar zum Ausdruck zu bringen, dass Sicherheit nicht verhandelbar ist. Sprechen Sie über die Bedeutung der Sicherheit auf höchster Ebene. Damit sind nicht nur die Personen gemeint, die den Titel Sicherheit tragen (CISO, CSO), sondern auch andere Führungskräfte bis hin zu einzelnen Managern.

 

  1. Fokus auf Awareness und darüber hinaus

Sicherheitsbewusstsein ist der Prozess, bei dem Ihr gesamtes Team die grundlegenden Lektionen über Sicherheit lernt. Sie müssen die Fähigkeit jedes Einzelnen, Bedrohungen einzuschätzen, auf ein bestimmtes Niveau bringen, bevor Sie ihn auffordern, die Tiefe der Bedrohungen zu verstehen. Sicherheitsbewusstsein hat einen schlechten Ruf wegen der Mechanismen, mit denen es vermittelt wird. Plakate und persönliche Besprechungen können langweilig sein, aber das müssen sie nicht. Bringen Sie etwas Kreativität in Ihre Aufklärungsbemühungen.

Neben der allgemeinen Sensibilisierung ist auch Wissen über die Anwendungssicherheit erforderlich. Das Bewusstsein für die Anwendungssicherheit richtet sich an die Entwickler und Tester innerhalb des Unternehmens. In Ihrem Unternehmen können sie in der IT-Abteilung oder in der technischen Abteilung angesiedelt sein. AppSec Awareness ist die Vermittlung der fortgeschrittenen Lektionen, die Mitarbeiter wissen müssen, um sichere Produkte und Dienste zu entwickeln.

Awareness ist eine fortlaufende Aktivität, also lassen Sie sich nie eine gute Krise entgehen. Ihrem Unternehmen werden schlimme Dinge passieren, und oft stehen sie in direktem Zusammenhang mit einem Sicherheitsproblem. Nutzen Sie diese lehrreichen Momente, um Ihre Sicherheitskultur auszubauen. Versuchen Sie nicht, sie unter den Teppich zu kehren, sondern nutzen Sie sie als Beispiel dafür, wie das Team besser werden kann.

Verantwortlichkeit vor Bewusstsein ist verrückt. Die Menschen wollen das Richtige tun, also zeigen Sie es ihnen durch ein Sensibilisierungsprogramm und machen Sie sie dann für die Entscheidungen verantwortlich, die sie treffen, nachdem sie das Wissen erlangt haben.

 

  1. Wenn Sie keinen sicheren Entwicklungslebenszyklus haben, sollten Sie ihn jetzt einführen

Der sichere Entwicklungslebenszyklus (SDL) ist die Grundlage für eine nachhaltige Sicherheitskultur. Ein SDL ist der Prozess und die Aktivitäten, auf die sich Ihr Unternehmen bei jeder Software- oder Systemfreigabe einigt. Dazu gehören Dinge wie Sicherheitsanforderungen, Bedrohungsmodellierung und Sicherheitstests. Die SDL beantwortet die Frage nach dem Wie Ihrer Sicherheitskultur. Es handelt sich um eine nachhaltige Sicherheitskultur in Aktion. Ein Privater Browser für Web und Mac öffnen, kann Ihnen auch dabei helfen Sicherheit in ihrem Unternehmen zu erreichen. Kunden aus allen Branchen beginnen, die verrückte Idee zu fordern, dass Unternehmen über ein SDL-System verfügen und dieses auch befolgen. Wenn Sie noch kein SDL haben, hat Microsoft die meisten Details über sein SDL kostenlos veröffentlicht. Viele SDL-Programme der Industrie gehen auf das Microsoft-Programm zurück.

Ein sinnvoller Platz für die SDL ist in einem Produktsicherheitsbüro zu finden. Wenn Sie kein Produktsicherheitsbüro haben, sollten Sie ernsthaft darüber nachdenken, in eines zu investieren. Dieses Büro ist in der Entwicklungsabteilung angesiedelt und stellt zentrale Ressourcen zur Verfügung, um die Teile Ihrer Sicherheitskultur umzusetzen. Auch wenn wir nicht wollen, dass das gesamte Unternehmen die Sicherheit an das Produktsicherheitsbüro abgibt, sollten Sie dieses Büro als Beratungsstelle betrachten, die den Ingenieuren die Grundlagen der Sicherheit vermittelt.