Warum die Gewohnheiten der Mitarbeiter ein Cyber-Risiko darstellen

Anmerkung des Herausgebers: Bei über 90 % der heutigen Verstöße gegen die Cybersicherheit ist menschliches Versagen im Spiel. Manchmal handelt es sich um Nachlässigkeit, manchmal um Böswilligkeit und manchmal um Dinge, die in bester Absicht schiefgehen. In jedem Fall brauchen die Nutzer eine solide, umfassende Schulung zum Thema Cybersicherheit.

Wir haben kürzlich Joshua Douglas, CISO von TRC Companies und Mitglied des Cyber Resilience Think Tank , gebeten, uns seine Gedanken zum Stand der Schulungen zum Thema Cybersicherheit mitzuteilen und zu erläutern, warum diese für die Sicherheit von Unternehmen so wichtig sind.

Wie können Menschen dem Cybersicherheitsprogramm eines Unternehmens helfen oder schaden?

Informationssicherheitsprogramme scheitern oder sind erfolgreich an einem der vier Hauptkriterien:

• Einhaltung der Vorschriften
• Selbstverpflichtung
• Komplexität
• Kultur

Von allen ist die Kultur am schwersten zu ändern und zu beeinflussen, aber gleichzeitig hat sie den größten direkten Einfluss auf die Sicherheit und die anderen Ks. Wenn es gelingt, die Herzen und Köpfe der Menschen zu verändern, sind sie letztlich die Triebfeder für den Erfolg der Cybersicherheit und überwinden vermeintliche Grenzen.

Berücksichtigen Ihrer Meinung nach genügend Unternehmen bei der Sicherheitsplanung die menschliche Komponente?

Im Allgemeinen erkennen unausgereifte Organisationen die menschliche Beteiligung nicht als Erfolgsfaktor an, weil sie glauben, dass großartige Technologie das Wettrüsten in einer zunehmend feindlichen Umgebung gewinnen wird. Erfolgreiche Sicherheitsprogramme müssen Cybersecurity-Bedrohungen bekämpfen, indem sie zuerst ihre Teams schulen, denn Cybersecurity ist eine gemeinsame Verantwortung und Technologie ist fehlbar.

Sollten die Mitarbeiter verpflichtet werden, sich über gute Sicherheitspraktiken und die neuesten E-Mail-Bedrohungen zu informieren?

Jeder, ob Angestellter oder nicht, ist es sich selbst schuldig, sich darüber zu informieren, wie Cyberkriminelle und Nationalstaaten es auf Einzelpersonen abgesehen haben, um unser Leben und unsere Geschäfte zu stören, und zwar mit genau den Mitteln, mit denen wir die digitale Transformation durchführen, um unsere Welt in die digitale Revolution zu führen.

Was sind die fünf schlimmsten Dinge, die Arbeitnehmer bei der Arbeit tun, wenn sie denken, dass niemand zuschaut?

Im Allgemeinen tun Arbeitnehmer schlechte Dinge nicht mit Absicht oder aus Böswilligkeit, sondern unabsichtlich.

• Öffnen von E-Mails von Personen, die sie nicht kennen
• Anklicken von Links, ohne sie zu validieren
• Unvorsichtiges Öffnen von Anhängen
• Verflechtung von Arbeits- und Privatleben, wodurch Unternehmen gefährdet werden
• Versäumnis, Verfahren zum Schutz personenbezogener Daten anzupassen

Was ist Cyber-Awareness-Schulung und was sind die Vorteile?

Bei der Schulung des Cyber-Bewusstseins geht es darum, den Menschen zu vermitteln, wie potenzielle Risikosituationen aussehen und sich anfühlen, damit sie kluge Entscheidungen treffen können, um potenziell katastrophale Situationen zu vermeiden. Durch ein starkes Schulungsprogramm für das Cyber-Bewusstsein erweitern Sie Ihr Team und verhindern, dass es zu Zwischenfällen kommt, wenn Technologie und Prozesse versagen.

Welche Folgen hat es, wenn Sie KEINE regelmäßigen und kontinuierlichen Schulungen für das Cyber-Bewusstsein anbieten?

Eine Organisation ist immer in Bewegung, was bedeutet, dass neue Mitarbeiter kommen und gehen, und die einzige Möglichkeit, das Bewusstsein für Cybersicherheit am Leben zu erhalten, besteht darin, kontinuierliche Schulungen anzubieten, damit die Cybersicherheit ganz oben auf der Agenda steht. Ohne diese regelmäßigen Schulungen leidet die Unternehmenskultur, und die Mitarbeiter werden davon ausgehen, dass alles in Ordnung ist, ohne dass die Wachsamkeit verstärkt wird.

Was sind die besten Praktiken, mit denen eine Organisation beginnen kann, um Awareness-Schulungen zu einem Teil ihrer Kultur zu machen?

Die Sensibilisierungsschulung sollte einfach und kurz sein und vom Führungsteam unterstützt werden. Dies sollte mit regelmäßigen KPIs zu den Teilnahmequoten und der Wirksamkeit einhergehen, wobei die Klickraten getestet werden sollten.

Welche Rolle spielt "Verhalten", wenn es um die Schulung des Sicherheitsbewusstseins geht? Wie lässt es sich ermitteln und verfolgen, und wie lässt es sich im Laufe der Zeit ändern?

Das Verhalten kann auf verschiedene Weise verfolgt werden:

• Nimmt diese Person an der Schulung teil?
• Wie oft nehmen sie an der Ausbildung teil?
• Nimmt ihre Führung an der Schulung teil?
• Wenn sie getestet werden, klicken sie dann auf Gegenstände?
• Ändern sich ihre Handlungen, wenn sie ein Ereignis im wirklichen Leben erleben?

Einiges davon kann systematisch verfolgt werden, anderes beinhaltet Diskussionen und Tests ihrer Fähigkeiten, kann aber auch spielerisch gestaltet werden, um Menschen gegeneinander antreten zu lassen. Diese KPIs können ihnen helfen, ihr Verhalten zu ändern. In einigen Fällen kann ein persönliches Ereignis sie dazu veranlassen, ihr Verhalten zu ändern. Wenn Sie ihnen dann erklären können, wie es dazu kam, werden sie zu Botschaftern für Ihre Sache.

Wie können Unternehmen Verhalten als Taktik nutzen, um Cyberrisiken zu verringern?

Die Unternehmen müssen erkennen, dass das Zuckerbrot weitaus wirksamer ist als die Peitsche. Wir wollen oft diejenigen bestrafen, die Böses tun, versäumen es aber, diejenigen zu belohnen, die Gutes tun, da dies ein erwartetes Verhalten ist. Um dies zu erreichen, kann die KPIs der Awareness-Schulung und die Auswirkungen von Vorfällen auf die Mitarbeiter aufzeigen und weitergeben, um eine positive Kultur zu schaffen, die das Verhalten beeinflusst.

Wie können Mitarbeiter dazu beitragen, die Cyber-Resilienzstrategie eines Unternehmens zu stärken?

Die Mitarbeiter sollten ihre Schulungen wahrnehmen und ihre Informationssicherheitsteams auffordern, sie in die gemeinsame Verantwortung für die Sicherheit ihres Unternehmens einzubeziehen. Sie sollten auch zu Markenbotschaftern werden, wenn sie persönlich mit Cyber-Bedrohungen zu tun haben.

Welche Schritte kann ein Unternehmen unternehmen, um Verhaltensrisikobewertungen und Sensibilisierungstrainings in seine Planung der Cyber-Resilienz einzubauen?

Jedes Unternehmen benötigt einen soliden Plan zur Umsetzung eines Programms zur Sensibilisierung für Cybersicherheit, der wichtige Kennzahlen liefert, die Aufschluss darüber geben, wie effektiv die Schulung ist und wie sie einen Trend zu Veränderungen bei den Mitarbeitern bewirkt. Ohne solide mathematische Daten können Sie Verhaltensänderungen nicht nachvollziehen.

Die Unternehmen scheinen zu wissen, dass die Ausbildung der Mitarbeiter von entscheidender Bedeutung ist. Warum tun so wenige es tatsächlich? Was ist die Ursache für diese Lücke? Und wie können wir sie schließen?

Einfach ausgedrückt: Cybersecurity-Teams haben Angst, etwas zu verändern. Es besteht die Angst, organisatorische Auswirkungen zu verursachen, die die Produktivität behindern können. Wenn Ihr Schulungsprogramm nur 20+ Minuten lange Schulungen anbietet, können Sie diese nicht monatlich durchführen. Da Schulungen nicht immer die Stärke von Cybersicherheitsexperten sind, suchen sie nicht nach Schulungspaketen, die Mikroschulungen anbieten, und arbeiten auch nicht mit der Personalabteilung oder ihren Schulungsteams zusammen, um kreativer zu werden und das menschliche Element zu berücksichtigen.