Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

Sicherheitskultur ist ein wichtiger Aspekt für Unternehmen

Von unserem Gastautor Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4

[datensicherheit.de, 14.06.2019] Es gibt in der Cybersicherheit etwas, das sich nicht lernen lässt, schon gar nicht durch irgendwelche Online-Kurse: Erfahrungswerte. Im Allgemeinen werden Meetings, Webinare, Mittagessen und Lernen, Teamaktivitäten oder sogar alltägliche Interaktionen mit einer Technologie als ereignisbasierte Erfahrung betrachtet. Der Schlüssel ist, dass dies Situationen sind, in die Menschen ein- und aussteigen.

Besprechungen, Präsentationen und Lunch-and-Learnings

In der Regel gibt es keinen Bildschirm, der den Referenten von den Teilnehmern trennt. Die Formate sind offener und interaktiver, so dass im Veranstaltungsraum ein größeres Gefühl von Emotion und geteilter Empathie entsteht. Inhalte wie Erfahrungen können direkt geteilt werden, aber der Referent hat auch den Vorteil, dass er direkt mit seinem Publikum interagiert. Dies kann dazu beitragen, ein Vertrauensverhältnis zwischen den Mitarbeitern und dem IT-Sicherheitsteam zu fördern. Dies sind großartige Foren zum Geschichten erzählen, Fragestunden, Austausch über aktuelle Themen und vieles mehr.

Bild: KnowBe4

Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4

Gespräche mit Referenten sind immer gut, aber nicht immer notwendig. Eine Führungskraft aus dem eigenen Unternehmen kann auch darüber referieren, wie wichtig die IT-Sicherheit für den Erfolg des Unternehmens ist. Darüber hinaus können IT-Sicherheitsmitarbeiter kurze Vorträge über Sicherheitsvorfälle halten, die entweder erfolgreich waren und in der Öffentlichkeit präsent sind oder aber eigenen, die das Team vereiteln konnte. Das Wichtigste bei alledem ist, die Menschen einzubeziehen.

Der Vorgesetzte kann (und sollte) auch Wege finden, Sicherheitsereignisse und -themen in regelmäßig stattfindende Meetings zu integrieren, an denen er oder sie möglicherweise nicht selbst teilnehmen kann.

Tabletop-Übungen

Tabletop-Übungen (TTXs) sind äußerst flexibel. Tabletop-Übungen können ganz einfach erstellt werden. Sie dauern zwischen ein paar Minuten bis hin zu einem ganzen Tag. Im Wesentlichen handelt es sich dabei um Denkübungen, die um ein „Was wäre wenn“-Szenario herum aufgebaut sind.

Einer der besten Vorteile eines TTX ist, dass er es den Mitarbeitern ermöglicht, ihre Reaktionen auf Szenarien zu einem Zeitpunkt zu üben, an dem die Anforderungen nicht hoch sind. Ihre Reaktionen und Antworten können untersucht werden, und die Trainer oder Führungskräfte können entscheiden, wie sie die Trainings-, Nachrichten- und Spielbücher am besten ergänzen können, basierend auf was sie gesehen und gehört haben.

Innerhalb von nur wenigen Minuten auf Google, merkt man, dass es eine Menge guter Ressourcen gibt, wie man Tabletop-Übungen erstellt. Und viele von ihnen kommen aus dem Bereich der Notfallvorsorge, weil dieser Bereich immer wieder Pläne und Prozesse entwickeln muss, wie man mit dem nächsten großen „Was wäre wenn“ umgehen kann. Trainer und Führungskräfte können diese Materialien als Modell für die Erstellung personalisierter Cybersicherheits- und physischer Sicherheitsszenarien verwenden.

Rituale

Rituale existieren, um die Kulturen des Unternehmens zu verkörpern und zu erhalten, kann es von Vorteil sein, einen Teil der sicherheitsrelevanten Botschaften oder Aktivitäten in vorher festgelegte Unternehmensrituale zu integrieren. Wenn jeden Morgen ein Treffen stattfindet, sollten Anstrengungen unternommen werden, um Sicherheitsupdates zu integrieren. Rituale dienen auch dazu, organisatorische Werte wie den Service zu kodifizieren. Kann ein Security Messaging in bereits bestehende Service-Rituale integriert werden? Oder könnten vielleicht sogar neue Rituale geschaffen werden, die sich an populären Ritualen innerhalb des Unternehmens orientieren?

Spiele

Sicherheitsthemenspiele sind gut geeignet, um den Mitarbeitern zu helfen, Sicherheitsthemen durch eine andere Perspektive zu betrachten. Die lustigen, herausfordernden und variablen Belohnungen, die mit Spielen verbunden sind, helfen komplexe Botschaften zu transportieren. Beispiele für Spiele können computerbasierte oder physische Spiele wie Gefahrenerkennung, Rätsel lösen, Kartenspiele mit Szenarien und so weiter sein. Vor allem aber sollen die Spiele Spaß machen, aus dem Alltäglichen gemacht werden und lohnend sein.

Dies sind nur einige wenige Beispiele, wie man so etwas wie Erfahrungen anderer Dritter nutzen kann, um die Sicherheitskultur in einem Unternehmen positiv zu beeinflussen. Auf Grundlage der Organisationskultur können Wege gefunden werden, um immersive, ansprechende Erfahrungen zu schaffen, die bei den Mitarbeitern ankommen und sie in eine menschliche Firewall verwandeln.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2019
Kulturträger: Wege das Sicherheitsbewusstsein im Unternehmen zu stärken

datensicherheit.de, 07.11.2018
Security Awareness: Tipps für ein funktionierendes Sicherheitsbewusstsein im Unternehmen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen