Zwei IT- und interne Sicherheitsverantwortliche von Mimecast erzählen, was sie über das Management und die Absicherung des massiven Anstiegs der Remote-Arbeit von Mitarbeitern seit dem Beginn der COVID-19-Pandemie gelernt haben.

Wesentliche Punkte:

  • Durch die Verlagerung zur Telearbeit ist es noch wichtiger, die Cybersicherheit zu einem Schlüsselelement der Unternehmenskultur zu machen.
  • Eine ständige Zwei-Wege-Kommunikation mit den Mitarbeitern ist entscheidend für das Management einer dezentralen Belegschaft - vom Verständnis dafür, wo die Mitarbeiter mit der Technologie Probleme haben, bis zur Integration neuer Mitarbeiter in das Unternehmen.
  • Cloud-Anwendungen bieten die nötige Skalierbarkeit, um eine dezentrale Belegschaft zu unterstützen. Außerdem machen sie Cloud-basierte Sicherheit unverzichtbar.

Für Mimecast, wie auch für viele andere Unternehmen, stellte die COVID-19-Pandemie die Herausforderung dar, eine noch nie dagewesene Anzahl von Mitarbeitern zu verwalten, die Remote arbeiten. In diesem Beitrag berichten zwei der wichtigsten internen Technologie-Führungskräfte von Mimecast - Rich Arsenault, VP of Infrastructure and Services, und Neil Clauson, Senior Manager, Security Operations - was sie in dieser außergewöhnlichen Zeit über die Verwaltung und Sicherung von Remote-Mitarbeitern gelernt haben.

F: Wie managen Sie die Technologiestrategie in einer Zeit wie dieser, in der sich die Situation ständig ändert und die Zukunft so ungewiss aussieht?

Arsenault: Wir treffen ständig Entscheidungen über das Unbekannte. Wir sammeln viel mehr Daten darüber, was wir getan haben, wo unsere Mitarbeiter sind und wie wir uns fühlen, wo wir sind. In IT-Organisationen hatten Sie in der Regel ein Endergebnis vor Augen: Sie wussten, was Sie liefern mussten und wann. Aber wir können nicht wissen, wie lange COVID-19 dauern wird. Zuerst dachten wir, dass wir im Juni wieder im Büro sein würden. Jetzt wissen wir es nicht.

Wir müssen also kurzfristiger steuern, unsere Geschäftsanforderungen noch besser verstehen und darauf hinarbeiten, sie so sicher und durchdacht wie möglich zu erfüllen. Wir kennen unsere Ziele für das laufende Geschäftsjahr und unsere Anforderungen an unsere Kunden. Und wir halten uns an diesen Plan.

F: Können Sie uns ein Beispiel dafür geben, wie Sie das machen?

Arsenault: Zum einen konzentrieren wir uns noch mehr darauf, wie wir mit Kunden in Kontakt treten. Unsere Mitarbeiter brauchen Technologie, um in Gesprächen mit neuen Kunden produktiv zu sein und die Zusammenarbeit im Verkaufszyklus voranzutreiben. Und wir müssen die Beziehungen zu bestehenden Kunden stärken. Wie können wir den Mitarbeitern in unserer großen Support-Organisation Technologie zur Verfügung stellen, damit sie nicht nur mit Kunden, sondern auch mit ihren Kollegen kommunizieren können? Früher konnte sich ein Callcenter-Mitarbeiter einfach zu seinem Nachbarn beugen und ihn fragen: Ich habe dieses Problem, haben Sie es gesehen und was haben Sie getan?

Wir haben eine 1000%ige Steigerung der Slack-Nutzung gesehen. Wir sind von 1.500 Zoom-Anrufen pro Woche auf 2.000 pro Tag gestiegen, 80 % davon per Video. Es geht nicht nur darum, diese Tools zu haben; es geht darum, sicherzustellen, dass die Leute wissen, wie man sie benutzt. Es geht um das Verständnis: ist das Tool effizient? Erfüllt es die geschäftlichen Anforderungen?

F: Wie finden Sie heraus, ob die Tools für die Menschen und das Unternehmen funktionieren, und was machen Sie mit dem, was Sie erfahren?

Arsenault: Wir befragen die Leute ständig. Wir führen gerade eine weitere IT-Umfrage durch, um Feedback zur Arbeitsplatzumgebung zu sammeln: wie wir arbeiten, was die IT für sie leisten kann. Wir haben auch zusätzliche Mittel bereitgestellt, um den Mitarbeitern zu helfen, sich in ihren Heimarbeitsplätzen wohlzufühlen.

Selbst einfache Anforderungen an die Heimarbeit können neue Lösungen erfordern. Nehmen wir an, ein Mitarbeiter hat ein Ries Papier für seinen Drucker zu Hause gekauft. Früher hätte er vielleicht ein Bündel aus dem Büro mit nach Hause genommen. Jetzt brauchen wir eine Technologie, die den Mitarbeitern hilft, das Papier zu besorgen und es korrekt auszugeben. Das kann eine Menge an Prozessen beinhalten.

F: Sie waren führend bei der Umstellung auf die Cloud. Wie funktioniert das in Bezug auf die Verwaltung von Remote-Mitarbeitern?

Arsenault: Wir haben die Organisation als Cloud-first-Unternehmen geführt: 90 % unserer Geschäftsanwendungen sind heute Cloud-basiert. Und wir haben die lineare Skalierbarkeit dieser Plattformen gesehen, ohne eine entsprechende Erhöhung der Ressourcenzuweisung auf unserer Seite. Für uns hat die Cloud so skaliert, wie sie es sollte.

Wir hatten hohe Auslastungsspitzen eingeplant, aber niemand hatte erwartet, wie diese in einem Work-from-Home-Szenario wie COVID-19 aussehen würden. Und ehrlich gesagt, lagen einige Schätzungen um Größenordnungen daneben. Denken Sie nur an den Anstieg der E-Mails um 300 %. Es ist großartig, dass wir die Mimecast-Cloud-Technologie hatten, um das zu skalieren, aber diese Art von Anstieg haben wir nie erwartet. Unsere Exchange-Umgebung wurde herausgefordert. War es schmerzfrei? Nein. War es erfolgreich? Ja.

F: Wie sieht es mit den Sicherheitsimplikationen der Abhängigkeit von Cloud-Anwendungen aus?

Clauson: Je mehr Cloud-basierte Ressourcen Sie haben, desto weniger Mitarbeiter müssen sich per VPN in das Netzwerk einwählen. Ohne Cloud-basierte Patches, Schwachstellen-Scans und Endpunktsysteme könnten Sie den Überblick über Geräte verlieren, die sich nicht so oft melden. Daher muss auch die Sicherheit in die Cloud verlagert werden, um diese Sichtbarkeit zu erhalten.

Wir haben gut daran getan, die Nutzung von nicht genehmigten Diensten zu vermeiden, aber viele Unternehmen stehen vor diesem Problem: Die Leute nutzen irgendeine ungesicherte Web-App, weil es einfacher ist. Da sie sich nun nicht per VPN einloggen, verhindern herkömmliche Firewalls das nicht. Wir haben uns darauf eingestellt, weil wir unseren Cloud-basierten Sicherheitsagenten Mimecast verwenden. Aber Unternehmen, die nicht in Cloud-Sicherheit investiert haben, können die Sicherheit verlieren.

Was die Forensik von Cyberangriffen angeht: Wenn Sie nicht in ein Cloud-basiertes Endpunkt-Erkennungs- und Reaktionstool investiert hätten und Ihre Lösung für die Reaktion auf einen Vorfall darin bestünde, auf die betroffene Person zuzugehen und ihr den Laptop wegzunehmen, wäre die Sicherheit für entfernte Mitarbeiter eine echte Herausforderung.

F: Was hören Sie von Ihren Fachkollegen?

Arsenault: Die Kollegen, mit denen ich gesprochen habe, die die Cloud nutzen, haben ähnliche Erfahrungen gemacht. Sie sind im Allgemeinen zufrieden. Andere kämpfen noch mit dem Feuer, bringen das Geschäft zum Laufen. Ein Kollege betreibt ein Call Center in Las Vegas. Sie mussten jeden Laptop bei Best Buy kaufen, damit ihre Call Center-Mitarbeiter von zu Hause aus arbeiten konnten. Glücklicherweise hatten 90 % der Mitarbeiter von Mimecast bereits von zu Hause aus gearbeitet.

F: Können Sie etwas mehr über die Sicherheitsaspekte der Arbeit von zu Hause aus sagen?

Clauson: Ein Teil der Herausforderung ist, dass Ihr Computer immer eingeschaltet ist. Was passiert, wenn Ihr Kind einsteigt und anfängt, auf ungeeigneten Seiten zu surfen? Das ist ein traditionelles Problem, aber jetzt hat es sich vergrößert, weil die Leute mehr von zu Hause aus arbeiten und tagsüber im Haus ein und aus gehen.

Arsenault: Wir haben uns gezielt bemüht, Mimecast-Produkte wie Awareness-Trainings einzusetzen. Die Mitarbeiter bekommen also sehr gezielte Awareness-Schulungen, die sich auf Herausforderungen konzentrieren wie: Lass deinen Laptop nicht irgendwo stehen. In der Praxis hatten wir ein größeres Problem mit Leuten, die Dinge verschütteten. Wir haben mehr Laptops durch Unfälle verloren als je zuvor.

Clauson: Es gibt auch ein Backup. Wie stellen Sie sicher, dass die Laptops gesichert werden und die Datenschutzkontrollen bestehen bleiben? Wir verfolgen eine Defense-in-Depth-Strategie, aber alle Tools müssen zusammenarbeiten, um IT-Funktionalität, Sicherheit und Produktivität nahtlos zu integrieren.

Benutzer sind gestresst. Je mehr Druck Sie auf sie ausüben für Dinge, die sie vielleicht nicht als kritisch ansehen, desto höher sind Ihre Risiken. Vermeiden Sie also Reibung, wo immer es möglich ist.

F: Das Geschäft von Mimecast ist die Sicherheit. Wie wirkt sich das auf die Art und Weise aus, wie Sie Remote-Mitarbeiter verwalten?

Arsenault: Sicherheit ist in allem, was wir tun, verankert und jeder Mitarbeiter kennt seine Verantwortung. Wir schicken ihnen Updates von unserem CISO, was sie beachten müssen - nicht nur für ihre Unternehmenswelt, sondern auch für ihre persönliche Welt. Wir alle wissen, dass das Spam- und Phishing-Aufkommen derzeit durch die Decke geht, und wir wollen unsere Mitarbeiter umfassend schützen, nicht nur ihre Arbeitsumgebung.

F: Das wirft die Frage auf, wie man Sicherheit zu einem Teil der Organisationskultur machen kann.

Arsenault: Wir sagen, Sicherheit ist ein Teamsport. Sie sollte in Ihrer Kultur verankert sein - und wenn das nicht der Fall ist, ist jetzt ein guter Zeitpunkt für einen Kulturwandel. COVID-19 verändert fast alles an der Art und Weise, wie Unternehmen arbeiten - warum sollten Sie die Sicherheit nicht stärker in Ihrer Kultur verankern?

Ich sehe, wie meine Kollegen sagen: Jetzt ist es an der Zeit, strategische Veränderungen in der Art und Weise vorzunehmen, wie wir mit den Mitarbeitern interagieren und was unsere Erwartungen sind. Die Mitarbeiter sind viel offener dafür. Früher gab es kulturelle Unterschiede aufgrund der geografischen Lage, aber das ist beim Coronavirus nicht der Fall. Weltweit wollen alle das gleiche Ergebnis, und jeder will Teil des Teams sein.

Clauson: In der Mitte der Not liegt die Chance. Aufgeklärte Unternehmen lehnen sich ein wenig in den Schmerz hinein.

Wie wir bereits besprochen haben, waren wir gut darin, die Mitarbeiter zu bitten, sich zu beteiligen - sie zu fragen, wie sie sich fühlen, womit sie zu kämpfen haben, was ihnen weh tut. Je mehr man die Leute einbezieht, desto wahrscheinlicher ist es, dass sie die gewünschten Veränderungen annehmen. Wir sagen: wir stecken da alle gemeinsam drin. Helfen Sie uns, Ihnen zu helfen.

Arsenault: Wenn wir zu Hause arbeiten, schießen wir nicht so oft mit Nerf-Guns aufeinander. Diese persönliche Zeit hat uns immer geholfen, Beziehungen und eine Kultur aufzubauen. Jetzt stellen wir neue Mitarbeiter ein, die diese Möglichkeit nicht hatten.

Clauson: Viele der Mitarbeiter, die wir in den letzten 90 Tagen eingestellt haben, waren noch nie in einem Mimecast-Büro. Also vermitteln wir unsere Kultur aus der Ferne, durch ausführliches Onboarding und über Zoom.

F: Wie funktioniert das?

Clauson: Es wird eine Weile dauern, bis alle Daten da sind. Als Betriebsmann vergleiche ich die Produktivität. Ja, es braucht ein paar mehr Ressourcen, um die neuen Mitarbeiter dieses Jahres auf Vordermann zu bringen, aber die bisherigen Daten deuten darauf hin, dass sie innerhalb weniger Wochen die gleiche Effizienz aufweisen wie die Neueinstellungen des letzten Jahres.

F: Gibt es noch etwas, was Sie über die sichere Führung einer Belegschaft im aktuellen Umfeld sagen möchten?

Clauson: Die Organisation muss vollständig ausgerichtet sein. Rich und ich kommen gut miteinander aus. In vielen Unternehmen gibt es eine Menge Kopfschütteln zwischen IT und Sicherheit. Wenn die beiden miteinander konkurrieren, ist es an der Zeit, das Kriegsbeil zu begraben. Es sind Rich und ich gegen die Welt, nicht gegeneinander.

Was lässt sich daraus schließen?

Die pandemiebedingte Umstellung auf Remote-Arbeiten hat viele Unternehmen vor nie dagewesene technologische und sicherheitstechnische Herausforderungen gestellt. Der Erfolg hängt von der reibungslosen Integration von Cloud-Anwendungen und Sicherheit, einer umfassenden Kommunikation sowohl intern als auch extern und der Verwendung von Remote-Tools zur Stärkung der Kultur sowie der Produktivität ab. Die Umstellung auf Telearbeit bietet die Chance - und bedeutet, dass es noch wichtiger ist, Cybersicherheit zu einem Schlüsselelement der Unternehmenskultur zu machen.

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Das "New Normal" der Sicherheit: Remote-Working beschleunigt die Verlagerung auf Clou...

451 Research-Analyst Scott Crawford beschreibt...

Scott Crawford, Analyst bei 451 Research, beschreibt, wie IT-Organisationen... Mehr lesen >

Bill Camarda

von Bill Camarda

Mitwirkender Verfasser

Posted Jun 19, 2020

Cloud Productivity Platform Security: Re-imagining Your IT Resilience …

Cloud productivity suites are booming in…

Cloud productivity suites are booming in the Covid-19 era wh… Read More >

Richard Botley

von Richard Botley

Senior Security Writer

Posted Jun 02, 2020

New Threat Intelligence Report: 100 Days of Coronavirus

Die globale Verbreitung von COVID-19 hat...

Die globale Ausbreitung von COVID-19 hat viele neue Möglichkeiten geschaffen,... Mehr lesen >

Renatta Siewert

von Renatta Siewert

Senior Security Writer

Veröffentlicht am 04. Mai 2020