Effektive Cybersicherheit erfordert eine allgegenwärtige Organisationskultur, in der jeder weiß, was zu tun ist, und sich dafür einsetzt.

Wesentliche Punkte:

  • Die Schaffung einer Kultur der Cybersicherheit erfordert eine ehrliche, einfache englische Kommunikation, die die Menschen für ein gemeinsames Ziel motiviert.
  • Die dafür erforderliche Schulung des Cybersicherheitsbewusstseins sollte relevant, unterhaltsam und kontinuierlich sein.
  • Ein positiver und konstruktiver Ansatz funktioniert fast immer besser als ein strafender und Angst einflößender.

Obwohl fortgeschrittene Technologien wie KI und maschinelles Lernen zu wesentlichen Bestandteilen der Cybersicherheit geworden sind, sind sie immer noch unzureichend. Wie den meisten CISOs und Cybersicherheitsexperten klar ist, wird Technologie allein niemals ein angemessener Schutz sein. Wenn es um Sicherheit geht, werden abgelenkte Menschen immer das schwächste Glied sein, und die Kultivierung einer Kultur der Cybersicherheit ist für die Verteidigung Ihrer Organisation von entscheidender Bedeutung.

Eine Art, über die Cybersicherheitskultur Ihres Unternehmens nachzudenken, ist, dass es darum geht, "was mit der Sicherheit geschieht, wenn Menschen sich selbst überlassen werden".[1] Ist es wahrscheinlich, dass Mitarbeiter über Sicherheit nachdenken und das Richtige tun, wenn es darauf ankommt? Wenn ja, hat die Sicherheitskultur der Organisation ihre Reaktion und ihr Verhalten geprägt - und diese Kultur zu stärken bedeutet, aktiv einzugreifen, um mehr der Reaktionen und Verhaltensweisen zu gewährleisten, die Sie brauchen. Dafür ist das Cybersicherheits-Bewusstseinstraining gedacht - und hier sind neun Möglichkeiten, es so effektiv wie möglich zu gestalten:

  1. Erklären, was auf dem Spiel steht

Es ist überraschend, aber in vielen Unternehmen wissen die Mitarbeiter immer noch nicht, welchen Wert das hat, was sie schützen sollen. Dann sagen Sie es ihnen. Das heißt: Sensible Kundendaten, die sie privat bleiben möchten, wenn sie Ihr Kunde wären; Wettbewerbsgeheimnisse, wie Marketinginitiativen und Produktforschung; Informationen, für deren Schutz das Unternehmen rechtlich verantwortlich ist, wie z.B. HIPAA-geschützte medizinische Unterlagen. Und erklären Sie, wie sich all dies auf den Ruf des Unternehmens und sogar auf sein Überleben auswirkt - angesichts der Tatsache, dass es öffentlich für Verstöße oder Verletzungen zur Rechenschaft gezogen werden könnte.

Die Arbeitnehmer müssen auch erkennen, dass in diesem neuen Zeitalter der Heimarbeit jeder, der seinen Arbeitgeber ins Visier nimmt, auch seinen Haushalt ins Visier nimmt; indem er das Unternehmen schützt, schützt er auch sich selbst.

  1. Stellen Sie sicher, dass die Menschen wissen, dass Sie ihre Hilfe wirklich brauchen

Sicherheitsprofis mögen erkennen, dass technische Sicherheitsvorkehrungen nicht idiotensicher sind, aber viele Mitarbeiter in der Basis wissen das nicht. Einige denken immer noch, dass sie auf alles klicken können, was sie wollen, weil die Sicherheitssysteme des Unternehmens sie immer schützen werden. Sie müssen verstehen, dass keine Sicherheitsmaßnahmen perfekt sind und dass es an ihnen liegt, Bedrohungen zu minimieren und unnötige Risiken zu vermeiden.

  1. Erklären Sie, warum Sie tun, was Sie tun

Es reicht nicht aus, die Mitarbeiter für die Sicherheit zu sensibilisieren, wenn man sie nicht auf dem Laufenden hält. Wenn Sie also zusätzliche Schritte unternehmen, wie das Hinzufügen eines VPN oder das Erfordernis einer Zwei-Faktor-Authentifizierung, müssen Sie den Grund für diese Änderungen erläutern und erklären, warum sich etwaige Unannehmlichkeiten im Hinblick auf einen größeren Schutz vor Bedrohungen lohnen.[2]

  1. Machen Sie es den Arbeitnehmern leicht, das Richtige zu tun

Fragen Sie sich selbst: Wissen Mitarbeiter, wo sie eine verdächtige E-Mail melden können oder wie sie die Authentizität eines geschäftlichen Telefongesprächs überprüfen können? Gibt es eine einfache Möglichkeit für sie, sich an die Unternehmenssicherheit zu wenden, um eine Frage zu stellen oder um Rat zu fragen?[3]

  1. Offenen Feedbackkultur

Bedeutet das "Funkstille" eines Mitarbeiters, dass alles in Ordnung ist, oder dass die Person Angst hat, die Hand auszustrecken, aus Angst, bestraft oder bevormundet zu werden? In zu vielen Unternehmen denken die Menschen, dass die Interaktion mit dem Cybersicherheitsteam bedeutet, dass sie etwas furchtbar Falsches getan haben. Organisationen mit einer ausgeprägten Cybersicherheitskultur zerstreuen diese Ängste durch routinemäßige Kommunikation und beiläufige Einsätze.[4]

  1. Seien Sie konstruktiv, nicht bestrafend

Es ist immer wieder bewiesen worden: Gutes Verhalten zu belohnen funktioniert viel besser, als Fehler zu bestrafen. Furcht vor Repressalien führt nur zu widerwilliger Duldung, nicht zum gewünschten tieferen Buy-in. Und wenn Menschen Angst davor haben, einen Fehler zuzugeben, suchen sie nach Möglichkeiten, ihre Taten zu verbergen, was die Risiken des Unternehmens nur noch erhöhen kann.

  1. Cybersicherheitstraining unterhaltsam, einnehmend, verständlich und kontinuierlich gestalten

Das Schlimmste, was Sie tun können, ist, ein Cybersicherheitstraining als eine Eins-zu-eins-Übung zur Einhaltung der Vorschriften darzustellen. Wenn Sie Ihre Zuhörer abschalten und das Thema herabsetzen wollen, gibt es ehrlich gesagt keinen besseren Weg.[5]

Wenn Sie wollen, dass die Mitarbeiter die Cybersicherheit annehmen und ernst nehmen, gehen Sie den umgekehrten Weg. Bieten Sie Schulungen an, die Spaß machen und auf realen Erfahrungen basieren, und halten Sie sie in mundgerechten, leicht verständlichen, einfachen englischen Präsentationen ab. Kurze und häufige Lektionen machen das Thema nicht nur verdaulich, sondern vermitteln auch die Botschaft, dass Cybersicherheit heute ein regelmäßiger und wichtiger Teil des Unternehmenslebens ist.

  1. Ihr Training mit einer schweren Dosis Realität durchtränken

Relevanz ist Gold wert. Nutzen Sie für Ihre Cybersicherheitsschulungen jede Gelegenheit, sie auf reale Vorfälle zu stützen - entweder in Ihrem Unternehmen oder in den Nachrichten. Statistiken - egal wie aussagekräftig sie auch sein mögen - sind leicht zu vergessen. Aber die Menschen werden sich immer an die Lehren aus einem Vorfall erinnern, an dem Menschen beteiligt waren, mit denen sie arbeiten, und an die Umstände, auf die sie sich beziehen können.

  1. Ermutigen Sie Führungskräfte, den Weg zu gehen

Die obersten Führungskräfte Ihres Unternehmens sind die größten Ziele von Cyberkriminellen; deshalb werden sie auch als "Wale" bezeichnet. Diese Inhaber von Eckbüros haben den größten Zugang zu unternehmenskritischen Systemen und die größte Autorität, um Gelder zu transferieren und Bargeld auszugeben. Leider gehören sie bei vielen Organisationen auch zu den widerstandsfähigsten, wenn es um die Aufrechterhaltung einer guten Cyber-Hygiene geht.[6] Mit anderen Worten: Ihre Führungsmannschaft braucht mindestens ebenso sehr wie jeder andere regelmäßige Schulungen im Bereich der Cybersicherheit - obwohl ihre Schulung auch betonen sollte, warum sie die Hauptziele für kriminelle Hacker sind und wie das Beispiel, das sie geben, die gesamte Organisationskultur im Bereich der Cybersicherheit entweder verunglimpfen oder erhöhen kann.

Was lässt sich daraus schließen?

Selbst die ausgeklügeltsten Sicherheitstechnologien werden nur so effektiv sein wie die Menschen, die sie nutzen, und um die Mitarbeiter dazu zu bewegen, ihr Bestes zu geben, bedarf es einer starken Kultur der Cybersicherheit. Ein Schulungsprogramm zur Sensibilisierung für Cybersicherheit, das alle neun besten Schulungspraktiken berücksichtigt, ist das beste Werkzeug des Cyberprofis zum Aufbau dieser Kultur - eines, das als Anker für die Cyberabwehr Ihres Unternehmens dienen kann.

 

[1] "6 Wege zur Entwicklung einer Sicherheitskultur von oben nach unten", TechBeacon

[2] "The Importance Of Training: Cybersecurity Awareness als Firewall," Forbes

[3] "Mitarbeiterberichterstattung",US-Magazin für Cybersicherheit

[4] "Cyber-Sicherheitskultur: Warum es für Ihr Unternehmen von Bedeutung ist", CyberTrails

[5] "Machen Sie das Sicherheitstraining nicht zu einem 'One-and-Done'-Training."Dunkle Lektüre

[6] "Wie wichtig ist die Schulung des Sicherheitsbewusstseins für Führungskräfte?"TechTarget

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Bösewichte mit guten Algorithmen: 5 Wege, wie Cyberkriminelle KI ausnutzen können

Die schlechte Nachricht ist, dass Cyberkriminelle ein Druckmittel sind...

Die schlechte Nachricht ist, dass Cyberkriminelle KI nutzen, um ... Read More >

Stephanie Overby

von Stephanie Overby

Mitwirkender Verfasser

Veröffentlicht am 25. November 2020

Cybersecurity Awareness Training kann helfen, das Risiko von Personenschäden zu mindern...

Von Mimecast geförderte Forschung von mehr als...

Die von Mimecast gesponserte Untersuchung von mehr als 1.000 Geschäftsleuten... Read More >

Miranda Nolan

von Miranda Nolan

Sicherheitsschriftsteller

Verfasst Okt 26, 2020

Anatomy of a Sustained BEC Attack on Microsoft 365 Users

Cyberangreifer lauern in den Opfern ...

Cyberangreifer lauerten in den Microsoft 365-E-Mails der Opfer ... Read More >

Megan Doyle

von Megan Doyle

Mitwirkender Verfasser

Veröffentlicht am 17. November 2020