Für einen systemischen Wandel in Ihrer Cybersicherheitskultur müssen die Dinge interessant bleiben

Was ist wichtiger für den Schutz Ihres Unternehmens vor Cybersicherheitsbedrohungen: die Technologie oder die Benutzer? Zugegeben, es ist ein bisschen wie mit dem Huhn oder dem Ei - jeder ist auf den anderen angewiesen, um das Endziel der Cybersicherheit zu erreichen.

Als Mimecast den Teilnehmern einer Umfrage dieselbe Frage stellte, antworteten 78 % der IT-/Sicherheitsentscheider und -einflussnehmer, dass Technologie und Benutzerschulungen in Kombination gleichermaßen wirksam sind, um Cyberrisiken zu minimieren. Bei denjenigen, die sich nur für eine der beiden Optionen entschieden, war die Sicherheitsschulung der Gewinner.

Ein Test von SE Labs im Jahr 2020 ergab, dass die Gesamtgenauigkeit von Microsoft Office 365 Advanced Threat Protection bei nur 28 % lag, während die Sicherheitslösungen von Drittanbietern im selben Test eine Genauigkeit von 94 % erreichten. Selbst wenn ein Unternehmen in einen Best-of-Breed-Sicherheitsanbieter investiert hat, um 94 % der Bedrohungen herauszufiltern, ist es absolut entscheidend, wie die Mitarbeiter mit den verbleibenden 6 % umgehen.

Mimecast sponserte eine Studie von Osterman Research, The Truth About Cybersecurity Training , um der Frage auf den Grund zu gehen, wie Awareness-Schulungen am effektivsten gestaltet werden können. Wir fanden heraus, dass Unternehmen nicht nur eine Verhaltensänderung anregen, sondern auch einen systemischen Wandel in ihrer Cybersicherheitskultur herbeiführen müssen.

Wie kann man das am besten erreichen? Wecken Sie das Interesse der Mitarbeiter .

Verhaltensänderung vs. Systemische Veränderung

Die Schaffung einer Kultur des Cybersecurity-Bewusstseins ist ein Problem, mit dem Unternehmen nach wie vor zu kämpfen haben. Aktuelle Studien und Beispiele verdeutlichen dieses Problem. Eine Studie von Osterman/MediaPro ergab, dass einer von drei Angestellten glaubt, dass es ein geringes oder gar kein Sicherheitsrisiko darstellt, wenn ein Laptop oder ein mobiles Gerät nicht mit einem Passwort gesichert ist - ein gefährlicher Irrtum. Im Dezember 2020 schickte GoDaddy seinen Mitarbeitern eine Phishing-Simulation , die einen einmaligen Urlaubszuschuss von 650 Dollar versprach, wenn sie bis Ende der Woche ein Formular ausfüllten. 500 Mitarbeiter haben den Test nicht bestanden. Stellen Sie sich den Schaden vor, wenn es sich um einen legitimen Phishing-Betrug gehandelt hätte.

Warum halten sich diese falschen Sicherheitsvorstellungen und fehlgeschlagenen Sicherheitsmaßnahmen hartnäckig?

Cybersicherheitsschulungen sollten zwar auf eine Verhaltensänderung abzielen, aber um wirklich wirksam zu sein, müssen Organisationen neben individuellen, einmaligen Maßnahmen auch systemische Veränderungen anregen. Der Prozess sollte in etwa so aussehen:

Echtes Interesse führt zu systemischem Wandel

Die Osterman-Forschung fand heraus, dass Interesse ein wichtiger Weg ist, um systemische Veränderungen zu motivieren. 83 % derjenigen, die Schulungen "langweilig" fanden, waren auch der Meinung, dass Awareness-Schulungen entweder wenig hilfreich oder völlig nutzlos waren. Umgekehrt hielten 65 % derjenigen, die die Wirksamkeit ihrer Awareness-Schulung anpriesen, das Programm zumindest für "etwas interessant" oder "sehr interessant". Je interessierter die Mitarbeiter also sind, desto wahrscheinlicher ist es, dass sie sich in die Sicherheitskultur einbringen.

Ein ähnlicher Zusammenhang besteht zwischen dem Interesse der Nutzer an ihrer Sicherheitsschulung und dem Anteil derer, die verdächtige Inhalte melden können. Von denjenigen, die ihre Schulung als "langweilig" empfinden, können nur 76 % verdächtige E-Mails und Ähnliches melden. Von denjenigen, die die Schulung als "sehr interessant" empfinden, können jedoch 95 % verdächtige Inhalte an ihre IT- und/oder Sicherheitsteams melden.

Diejenigen, die Awareness-Schulungen "sehr interessant" fanden, waren auch eher bereit, ihre Passwörter regelmäßig zu aktualisieren, eindeutige Passwörter zu verwenden, die Zwei-Faktor-Authentifizierung zu aktivieren und andere Sicherheitsänderungen vorzunehmen - wobei die Mehrheit diese persönlichen Änderungen auf Awareness-Schulungen zurückführte.

Betrachten Sie es wie einen Schulkurs. Je mehr sich ein Schüler für ein Thema interessiert, desto wahrscheinlicher ist es, dass er es für wertvoll und relevant für das wirkliche Leben hält, und desto mehr Mühe wird er in sein Studium stecken. Eine Schülerin oder ein Schüler, die oder der kein Interesse an demselben Fach hat, wird dagegen eher das Nötigste tun, um eine Hausaufgabe zu erledigen.

Nächste Schritte zur Verbesserung der Sicherheitskultur

Osterman empfiehlt auf der Grundlage dieser Untersuchung die folgenden Maßnahmen:

1. Schulung der Benutzer mit Blick auf einen systemischen Wandel. Eine gute Schulung des Sicherheitsbewusstseins führt zu einem "Muskelgedächtnis" für die Sicherheit. Gewohnheiten wie Skepsis gegenüber verdächtig aussehenden Anfragen, Vorsicht beim Öffnen von Anhängen oder Anklicken von Links und Vorsicht beim Zugriff auf neue Netzwerke werden mehr oder weniger automatisch von denjenigen übernommen, die ein gutes Sicherheitstraining absolviert haben.
2. Holen Sie sich die Zustimmung des Vorstands und der Geschäftsleitung. Wenn die Schulung des Sicherheitsbewusstseins erfolgreich sein soll, muss sie zunächst von denjenigen unterstützt werden, die die Macht haben, sie durchzuführen. Die Geschäftsleitung sollte sinnvolle Sensibilisierungsprogramme als eine Möglichkeit betrachten, die Mitarbeiter zu einem Teil der Lösung zu machen. Um mit gutem Beispiel voranzugehen, müssen sie auch bereitwillig an den Schulungen teilnehmen und nicht nur andere anweisen, sie zu absolvieren, ohne selbst teilzunehmen.
3. Finden Sie heraus, ob Ihre derzeitige Kultur eine gute Schulung unterstützt. Wenn leitende Angestellte nicht lernfähig sind, wenn sich die Mitarbeiter gegen den Gedanken an Veränderungen sträuben oder wenn die Geschäftsleitung lediglich Lippenbekenntnisse zu einer guten Schulung des Sicherheitsbewusstseins abgibt, ohne angemessene Mittel und Anstrengungen für die Umsetzung bereitzustellen, wird sich die Kultur einfach nicht ändern.
4. Stellen Sie sicher, dass die Schulungen angemessen und auf das Unternehmen zugeschnitten sind. Allgemeine Schulungen sind zwar nützlich, aber jede Branche und jedes Unternehmen ist mit einer eigenen Reihe von Bedrohungen konfrontiert. Schulungen zum Sicherheitsbewusstsein müssen alle für das Unternehmen relevanten Themen ansprechen sowie diejenigen, die für die Branche, in der es tätig ist, spezifisch sind.
5. Machen Sie die Schulung interessant und unterhaltsam. Die Forschung unterstreicht die Bedeutung von ansprechenden Inhalten für das Sicherheitsbewusstsein. Je interessanter die Schulung für die Benutzer ist, desto effektiver ist sie für die Entwicklung der notwendigen Veränderung der Sicherheitseinstellung der Benutzer.
6. Messen Sie Ihren Erfolg und identifizieren Sie Bereiche mit Verbesserungsbedarf. Eine Forrester-Studie , die von Mimecast gesponsert wurde, hat ergeben, dass 45 % der Unternehmen bei Sicherheitsschulungsprogrammen kein Feedback von den Mitarbeitern einholen und 33 % keine Messgrößen zur Erfolgskontrolle verwenden.
7. Sorgen Sie dafür, dass die Schulung eher positiv als strafend ist. Bei der Schulung des Sicherheitsbewusstseins sollte es in erster Linie um die Durchsetzung positiver Veränderungen gehen, nicht um die Bestrafung negativer Veränderungen. Eine im Wall Street Journal veröffentlichte Studie hat ergeben, dass Angst eine unwirksame Taktik ist, um Mitarbeiter zu Cyber-Wachsamkeit zu erziehen, und oft nach hinten losgeht.

Die Quintessenz

Zu einem systemischen Wandel gehört viel, aber eine der effektivsten Möglichkeiten, eine gemeinschaftliche Einstellung zu ändern, ist das Engagement. Wenn Menschen wirklich an einer Sache interessiert sind und sich engagieren, müssen Sie sie nicht ständig daran erinnern, das Richtige zu tun.

Lesen Sie den vollständigen Bericht hier: The Truth About Cybersecurity Training .