Sicherheitsmanagement für Remote-Mitarbeiter: Die Erfahrung von Mimecast IT

Wie viele andere Unternehmen stand auch Mimecast aufgrund der COVID-19-Pandemie vor der Herausforderung, eine noch nie dagewesene Anzahl von Mitarbeitern zu verwalten, die aus der Ferne arbeiten. In diesem Beitrag berichten zwei der wichtigsten internen Technologie-Führungskräfte von Mimecast - Rich Arsenault, VP of Infrastructure and Services, und Neil Clauson, Senior Manager, Security Operations - was sie in dieser außergewöhnlichen Zeit über die Verwaltung und Sicherung von Remote-Mitarbeitern gelernt haben.

F: Wie handhaben Sie die Technologiestrategie in einer Zeit wie dieser, in der sich die Situation ständig ändert und die Zukunft so ungewiss ist?

Arsenault: Wir treffen ständig Entscheidungen, die das Unbekannte betreffen. Wir sammeln viel mehr Daten darüber, was wir getan haben, wo unsere Mitarbeiter sind und wie wir uns fühlen, wo wir sind. In IT-Organisationen hatte man in der Regel ein Endergebnis im Kopf: Man wusste, was man wann liefern musste. Aber wir können nicht wissen, wie lange COVID-19 dauern wird. Zuerst dachten wir, dass wir im Juni wieder im Büro sein würden. Jetzt wissen wir es nicht.

Wir müssen also kurzfristiger planen, unsere geschäftlichen Anforderungen noch besser verstehen und darauf hinarbeiten, sie so sicher und durchdacht wie möglich zu erfüllen. Wir kennen unsere Ziele für das laufende Geschäftsjahr und unsere Anforderungen an unsere Kunden. Und wir halten uns an diesen Plan.

F: Können Sie uns ein Beispiel dafür geben, wie Sie das machen?

Arsenault: Zum einen konzentrieren wir uns noch mehr darauf, wie wir mit Kunden in Kontakt treten. Unsere Mitarbeiter brauchen Technologien, um in Gesprächen mit neuen Kunden produktiv zu sein und die Zusammenarbeit im Verkaufszyklus voranzutreiben. Und wir müssen die Beziehungen zu bestehenden Kunden stärken. Wie können wir den Mitarbeitern unserer großen Support-Organisation Technologie zur Verfügung stellen, damit sie nicht nur mit Kunden, sondern auch mit ihren Kollegen zusammenarbeiten können? Früher konnte sich ein Callcenter-Mitarbeiter einfach zu seinem Nachbarn beugen und ihn fragen: Ich habe dieses Problem, haben Sie es gesehen und was haben Sie getan?

Wir haben eine 1000%ige Steigerung der Slack-Nutzung festgestellt. Wir sind von 1.500 Zoom-Anrufen pro Woche auf 2.000 pro Tag gestiegen, 80 % davon per Video. Es geht nicht nur darum, diese Tools zu haben, sondern dafür zu sorgen, dass die Leute wissen, wie man sie benutzt. Es geht um das Verständnis: ist das Tool effizient? Erfüllt es die geschäftlichen Anforderungen?

F: Wie finden Sie heraus, ob die Instrumente für die Mitarbeiter und das Unternehmen funktionieren, und wie gehen Sie mit dem um, was Sie erfahren?

Arsenault: Wir befragen unsere Mitarbeiter ständig. Wir führen gerade eine weitere IT-Umfrage durch, um Rückmeldungen über die Arbeitsumgebung zu erhalten: wie wir arbeiten, was die IT-Abteilung für sie leisten kann. Wir haben auch zusätzliche Mittel bereitgestellt, um den Mitarbeitern zu helfen, sich an ihren Heimarbeitsplätzen wohlzufühlen.

Selbst einfache Anforderungen an die Heimarbeit können neue Lösungen erfordern. Nehmen wir an, ein Angestellter kauft ein Bündel Papier für seinen Drucker zu Hause. Früher hätte er vielleicht ein Bündel aus dem Büro mitgenommen. Jetzt brauchen wir eine Technologie, die den Mitarbeitern hilft, das Papier zu besorgen und es korrekt auszugeben. Das kann eine Menge an Prozessen mit sich bringen.

F: Sie waren führend bei der Umstellung auf die Cloud. Wie funktioniert das im Hinblick auf die Verwaltung von Außendienstmitarbeitern?

Arsenault: Wir haben die Organisation als Cloud-first-Unternehmen geführt: 90 % unserer Geschäftsanwendungen sind heute Cloud-basiert. Und wir haben festgestellt, dass diese Plattformen linear skalierbar sind, ohne dass wir entsprechend mehr Ressourcen zuweisen müssen. Für uns hat die Cloud so skaliert, wie sie es sollte.

Wir hatten mit hohen Auslastungsspitzen gerechnet, aber niemand hatte erwartet, wie diese in einem Heimarbeitsszenario wie COVID-19 aussehen würden. Und ehrlich gesagt, lagen einige Schätzungen um Größenordnungen daneben. Denken Sie nur an den Anstieg der E-Mails um 300 %. Es ist großartig, dass wir die Mimecast-Cloud-Technologie hatten, um das zu skalieren, aber mit dieser Art von Anstieg haben wir nicht gerechnet. Unsere Exchange-Umgebung wurde auf die Probe gestellt. War es schmerzfrei? Nein. War es erfolgreich? Ja.

F: Wie sieht es mit den Sicherheitsaspekten der Abhängigkeit von Cloud-Anwendungen aus?

Clauson: Je mehr Cloud-basierte Ressourcen Sie haben, desto weniger Mitarbeiter müssen sich per VPN in das Netzwerk einwählen. Ohne Cloud-basiertes Patching, Schwachstellen-Scanning und Endpunktsysteme könnte man den Überblick über Geräte verlieren, die nicht so oft wiederkommen. Daher muss auch die Sicherheit in die Cloud verlagert werden, um diesen Überblick zu behalten.

Wir haben es gut geschafft, die Nutzung nicht genehmigter Dienste zu vermeiden, aber viele Unternehmen stehen vor diesem Problem: Die Leute nutzen eine ungesicherte Webanwendung, weil es einfacher ist. Da sie sich nicht per VPN einwählen, können herkömmliche Firewalls das nicht verhindern. Wir sind für den Erfolg gerüstet, weil wir unseren cloudbasierten Mimecast-Sicherheitsagenten verwenden. Aber Unternehmen, die nicht in die Cloud-Sicherheit investiert haben, können die Sicherheit verlieren.

Was die Forensik von Cyberangriffen angeht: Wenn Sie nicht in ein Cloud-basiertes Endpunkt-Erkennungs- und Reaktionstool investiert hätten und Ihre Lösung für die Reaktion auf einen Vorfall darin bestünde, auf die betroffene Person zuzugehen und ihr den Laptop abzunehmen, wäre die Sicherheit für Mitarbeiter an anderen Standorten eine echte Herausforderung.

F: Was hören Sie von Ihren Kolleginnen und Kollegen?

Arsenault: Die Kollegen, mit denen ich gesprochen habe und die die Cloud nutzen, haben ähnliche Erfahrungen gemacht. Sie sind im Allgemeinen zufrieden. Andere kämpfen noch mit dem Feuer, um das Geschäft in Gang zu bringen. Ein Kollege betreibt ein Callcenter in Las Vegas. Sie mussten alle Laptops bei Best Buy kaufen, damit ihre Callcenter-Mitarbeiter von zu Hause aus arbeiten konnten. Glücklicherweise hatten 90 % der Mitarbeiter von Mimecast bereits von zu Hause aus gearbeitet.

F: Können Sie etwas mehr über die Sicherheitsaspekte der Arbeit von zu Hause aus sagen?

Clauson: Ein Teil der Herausforderung besteht darin, dass Ihr Computer ständig eingeschaltet ist. Was passiert, wenn Ihr Kind einsteigt und anfängt, auf ungeeigneten Websites zu surfen? Das ist ein altbekanntes Problem, aber jetzt hat es sich verschärft, weil die Menschen immer mehr von zu Hause aus arbeiten und tagsüber immer wieder das Haus verlassen.

Arsenault: Wir haben gezielte Anstrengungen unternommen, um Mimecast-Produkte wie Awareness-Schulungen einzusetzen. Die Mitarbeiter erhalten also sehr gezielte Sensibilisierungstrainings, die sich auf Herausforderungen konzentrieren wie: Lassen Sie Ihren Laptop nicht irgendwo stehen. In der Praxis hatten wir ein größeres Problem mit Leuten, die etwas verschütteten. Wir haben mehr Laptops durch Unfälle verloren als je zuvor.

Clauson: Es gibt auch eine Datensicherung. Wie stellen Sie sicher, dass die Laptops gesichert werden und der Datenschutz gewahrt bleibt? Wir verfolgen eine "Defense-in-Depth"-Strategie, aber alle Tools müssen zusammenarbeiten, um IT-Funktionalität, Sicherheit und Produktivität nahtlos zu integrieren.

Die Benutzer sind gestresst. Je mehr Druck Sie auf sie ausüben für Dinge, die sie vielleicht nicht als kritisch ansehen, desto höher ist Ihr Risiko. Vermeiden Sie also Reibungen, wo immer es möglich ist.

F: Das Geschäft von Mimecast ist die Sicherheit. Wie wirkt sich das auf die Art und Weise aus, wie Sie Mitarbeiter im Außendienst verwalten?

Arsenault: Sicherheit ist ein fester Bestandteil unserer Arbeit, und jeder Mitarbeiter kennt seine Verantwortung. Wir schicken ihnen Updates von unserem CISO, um sie darüber zu informieren, worauf sie achten müssen - nicht nur für ihre Unternehmenswelt, sondern auch für ihre persönliche Welt. Wir alle wissen, dass das Spam- und Phishing-Aufkommen derzeit enorm hoch ist, und wir wollen unsere Mitarbeiter umfassend schützen, nicht nur ihre Arbeitsumgebung.

F: Dies wirft die Frage auf, wie man die Sicherheit zu einem Teil der Organisationskultur machen kann.

Arsenault: Wir sagen, Sicherheit ist ein Mannschaftssport. Sie sollte in Ihrer Kultur verankert sein - und wenn das nicht der Fall ist, ist jetzt ein guter Zeitpunkt für einen Kulturwandel. COVID-19 verändert fast alles an der Art und Weise, wie Unternehmen arbeiten. Warum sollten Sie die Sicherheit nicht stärker in Ihre Kultur integrieren?

Ich erlebe, wie meine Kollegen sagen: Jetzt ist es an der Zeit, strategische Veränderungen in der Art und Weise vorzunehmen, wie wir mit unseren Mitarbeitern umgehen und welche Erwartungen wir haben. Die Mitarbeiter sind viel offener dafür. Früher gab es kulturelle Unterschiede aufgrund der geografischen Lage, aber beim Coronavirus ist das nicht mehr der Fall. Auf der ganzen Welt wollen alle das gleiche Ergebnis, und alle wollen Teil des Teams sein.

Clauson: Inmitten von Widrigkeiten liegen Chancen. Aufgeklärte Unternehmen lehnen sich ein wenig gegen den Schmerz auf.

Wie wir bereits besprochen haben, haben wir die Mitarbeiter zur Mitarbeit aufgefordert und sie gefragt, wie sie sich fühlen, womit sie zu kämpfen haben und was sie schmerzt. Je mehr man die Menschen einbezieht, desto eher werden sie die gewünschten Veränderungen annehmen. Wir sagen: wir sitzen alle im selben Boot. Helfen Sie uns, Ihnen zu helfen.

Arsenault: Wenn wir zu Hause arbeiten, schießen wir nicht so oft mit Nerf-Guns aufeinander. Diese persönliche Zeit hat uns immer geholfen, Beziehungen und eine Kultur aufzubauen. Jetzt stellen wir neue Mitarbeiter ein, die diese Möglichkeit noch nicht hatten.

Clauson: Viele der Mitarbeiter, die wir in den letzten 90 Tagen eingestellt haben, waren noch nie in einem Mimecast-Büro. Deshalb vermitteln wir unsere Kultur aus der Ferne, durch ausführliches Onboarding und über Zoom.

F: Wie funktioniert das?

Clauson: Es wird eine Weile dauern, bis alle Daten vorliegen. Als operativer Mitarbeiter vergleiche ich die Produktivität. Ja, es braucht ein paar mehr Ressourcen, um die neuen Mitarbeiter in diesem Jahr auf Vordermann zu bringen, aber die bisherigen Daten deuten darauf hin, dass sie innerhalb weniger Wochen die gleiche Effizienz aufweisen wie die Neueinstellungen des letzten Jahres.

F: Gibt es noch etwas, was Sie über die sichere Verwaltung von Arbeitskräften in der derzeitigen Situation sagen möchten?

Clauson: Die Organisation muss vollständig ausgerichtet sein. Rich und ich kommen gut miteinander aus. In vielen Unternehmen gibt es ein großes Kopf-an-Kopf-Rennen zwischen IT und Sicherheit. Wenn die beiden miteinander konkurrieren, ist es an der Zeit, das Kriegsbeil zu begraben. Rich und ich treten gegen die Welt an, nicht gegeneinander.

Die Quintessenz

Die pandemiebedingte Umstellung auf Telearbeit stellt viele Unternehmen vor noch nie dagewesene technologische und sicherheitstechnische Herausforderungen. Der Erfolg hängt von der reibungslosen Integration von Cloud-Anwendungen und Sicherheit, einer umfassenden Kommunikation sowohl intern als auch extern und dem Einsatz von Remote-Tools zur Stärkung der Kultur und Produktivität ab. Die Umstellung auf Telearbeit bietet die Gelegenheit - und bedeutet, dass es noch wichtiger ist, Cybersicherheit zu einem Schlüsselelement der Unternehmenskultur zu machen.