Steuerung des Cybersicherheitsschiffs in einer toxischen Arbeitskultur

Wirkt Ihr Cybersicherheitsexperte in letzter Zeit etwas abgehärmt und reizbar?
Das ist kaum verwunderlich. Sich entwickelnde Bedrohungen, chronischer Personalmangel und knappe Budgets bedeuten, dass Cybersicherheitsteams oft mit einer Hand auf dem Rücken kämpfen müssen. Selbst eine zufriedene, gut funktionierende Abteilung kann sich regelmäßig ausgelaugt und ausgebrannt fühlen. Aber wenn man sich in einer toxischen Arbeitskultur um Cybersicherheit kümmern muss, steigt der Stress um ein Vielfaches an. Die Kommunikation leidet darunter, es entstehen Ressentiments, Frustrationen kochen hoch, und talentierte Mitarbeiter verlassen vielleicht sogar das Unternehmen. Und die Cybersicherheit Ihres Unternehmens leidet.

Ein gewisses Maß an Konflikten ist an jedem Arbeitsplatz normal. Doch woran erkennt man eine toxische Arbeitskultur, und was ist das Gegenmittel? Es ist nie einfach, sich in einem toxischen Umfeld zurechtzufinden, aber unser Leitfaden soll Ihnen helfen zu verstehen, wie Probleme entstehen und was Sie tun können, um sie zu lösen.

Wie man einen toxischen Arbeitsplatz erkennt

Niedrige Arbeitsmoral, Zynismus, mangelndes Vertrauen in die Führung, hohe Fehlzeiten und hohe Fluktuation sind allesamt Kennzeichen eines toxischen Arbeitsumfelds. Zu den spezifischen Verhaltensweisen, auf die man achten sollte, gehören narzisstische Führungsqualitäten, die Bedenken der Mitarbeiter ignorieren, das Verschweigen von Informationen, Klatsch und Tratsch, Lügen, Manipulation, Bevorzugung und in einigen extremen Fällen offenes Mobbing.

Dies ist sicherlich kein positives oder produktives Arbeitsumfeld. In solchen Situationen schalten die Menschen oft in den Überlebensmodus, werden defensiv und konzentrieren sich darauf, die Schuld von sich zu weisen oder die Lorbeeren für Dinge zu ernten, die sie nicht getan haben. Einfache Fragen können zu einem Netz von Ausflüchten und Ablenkungsmanövern führen. Einzelne Personen können zum Sündenbock gemacht werden, neue Praktiken werden entmutigt oder neue Ideen werden ignoriert.

Manche Menschen fühlen sich zu den destruktivsten Verhaltensweisen hingezogen und versuchen, die Kultur auszunutzen, um ungebührlichen Einfluss zu gewinnen oder ihre eigenen schlechten Leistungen zu verbergen, indem sie die Schuld abschieben. Andere brechen vielleicht einfach unter Druck zusammen und schlagen um sich. Infolgedessen können gute Mitarbeiter weniger produktiv werden, und ein talentiertes Cybersicherheitsteam kann das Gefühl haben, mehr Zeit mit internen Kämpfen als mit der Abwehr externer Bedrohungen zu verbringen.

Ehrlich, fair und zielgerichtet sein

Wenn Sie für Cybersicherheit zuständig sind, ist es Ihre oberste Priorität, Ihr Team so gut wie möglich zu schützen. Legen Sie fest, worauf Sie Einfluss haben und worauf nicht. Sie können nicht die Kultur der gesamten Organisation ändern, also fangen Sie klein an, und zwar bei sich selbst.

Vergewissern Sie sich, dass Sie Ihrem Team durch faires, angemessenes und gewissenhaftes Verhalten ein Vorbild sind. Wenn Sie mit anderen zu tun haben, dokumentieren Sie alles. Sorgen Sie dafür, dass Besprechungsnotizen und nächste Schritte umgehend in E-Mail-Ketten und gemeinsamen Dokumenten festgehalten werden, damit niemand die Wahrheit verdrehen kann. Die Gespräche sollten protokolliert und fragwürdiges Verhalten dokumentiert werden.

Menschen, die lügen oder manipulieren, versuchen oft, Fragen abzulenken oder anderen die Schuld zuzuschieben. Lassen Sie sich nicht ködern: Bleiben Sie am Ball. Sie werden nicht weiterkommen, wenn Sie ihre Spiele spielen. Halten Sie sich stattdessen an die relevanten Fakten und arbeiten Sie an der Lösung des Problems. Cyberangreifer sind schnell: Interne Ablenkungen und Missverständnisse in Ihrem Unternehmen könnten ihnen die Gelegenheit geben, die sie brauchen. Geben Sie ihnen diese Chance nicht.

Sicherheitsverantwortliche können etwas bewirken

Einzelne Mitarbeiter haben unter Umständen nicht den nötigen Einfluss, um wesentliche Veränderungen herbeizuführen, und müssen ihre Anliegen über die Personalabteilung und das Management vorantreiben. Hier können die Sicherheitsverantwortlichen etwas bewirken. Sie sollten offen und rechenschaftspflichtig sein und darauf hinarbeiten, Bereiche, die in ihrem Einflussbereich liegen, praktisch zu beeinflussen. Insbesondere müssen Cyber-Führungskräfte einen sicheren Raum für ihr Team schaffen und es ihnen ermöglichen, ihre beste Arbeit zu leisten. Zu den Schwerpunktbereichen gehören:

1. Sicherstellen, dass sich das Team wohl fühlt, wenn es Sicherheitsprobleme oder Fehler meldet, und Vermeiden einer Kultur der Schuldzuweisung
2. Unterschiedliche Standpunkte respektieren, statt eine "Ja"-Kultur zu fördern
3. Einführung von Kulturtraining und anderen Entwicklungsprogrammen
4. Zusammenarbeit mit der Personalabteilung und den direkten Vorgesetzten bei schwerwiegenden Vorfällen oder Verhaltensweisen
5. Entwicklung der "Soft Skills" des Management-Teams durch Schulungen - besonders wichtig im Cyber-Bereich, da viele Führungskräfte einen technischen Weg ins Management eingeschlagen haben
6. Festlegung klarer Erwartungen an die einzelnen Rollen und Beziehungen zu anderen Abteilungen

Toxische Kulturen können ein Arbeitsumfeld mit hohem Druck sowohl begünstigen als auch zur Folge haben. Das Wichtigste, was ein CISO tun kann, ist wohl, dafür zu sorgen, dass sein Team die nötige Unterstützung erhält, um seine Arbeit zu erledigen. Das bedeutet, dass der Vorstand den Druck verstehen muss, dem Sie ausgesetzt sind, und dass Sie die Budgets sicherstellen müssen, um effektiv arbeiten zu können.

Schaffung eines integrativen Arbeitsplatzes

Der Mangel an Vielfalt schadet dem Cyberspace. Im asiatisch-pazifischen Raum machen Frauen nur etwa 10 % der Beschäftigten im Bereich Cybersicherheit aus, wobei auch Angehörige ethnischer Minderheiten unterrepräsentiert sind. Die Bekämpfung von Diskriminierung und unbewusster Voreingenommenheit sowie der Aufbau einer einladenden Arbeitskultur können dazu beitragen, die Vielfalt in Ihrem Unternehmen zu erhöhen und Ihren Talentpool zu bereichern.

Eine integrative Cybersicherheitsabteilung wird auch für andere Bereiche des Unternehmens offen sein. Das bedeutet, dass Informationen auf eine Art und Weise weitergegeben werden müssen, die für andere Abteilungen sinnvoll ist, und dass alle Mitarbeiter des Unternehmens das Gefühl haben müssen, dass sie an der Cybersicherheit beteiligt sind. Indem man die Schulungen angenehm gestaltet und auf die einzelnen Teams zuschneidet und das nicht-technische Personal regelmäßig daran erinnert, dass es nicht nur in Ordnung ist, auf Probleme oder Anomalien hinzuweisen, sondern aktiv dazu ermutigt wird, kann man als CISO eine positive Arbeitskultur schaffen.

Eine toxische Arbeitskultur kann umgedreht werden

Toxisches Verhalten kann selbst die am besten ausgestatteten Cybersicherheitsteams lähmen. In Anbetracht der Schwere einer Sicherheitsverletzung sollten Streitigkeiten oder andere Ablenkungen, die Ihre operative Effizienz beeinträchtigen könnten, sehr ernst genommen werden.

Das bedeutet nicht, dass eine harte Gangart unbedingt die beste Option ist. Kurzfristig können Sie Ihr Team auf Kurs halten, indem Sie sich auf Ihre Geschäftsziele konzentrieren und Interaktionen aufzeichnen. Doch um Ihre Cyber-Kultur langfristig zu verändern, muss der Wandel von oben kommen. Toxische Verhaltensweisen werden es schwer haben, in einem offenen, rechenschaftspflichtigen Umfeld mit klaren Zielen Fuß zu fassen. Veränderungen brauchen Zeit, aber wenn Sie Ihre Erfolge feiern, aus Fehlern lernen und ein integratives und vielfältiges Team aufbauen, wird Ihre Sicherheitslage von Tag zu Tag besser werden.