Google 4.9 (34 Bewertungen)
Cyber security Service für Sie
Planen Sie eine Demo
Zurück zum Ressourcenzentrum

CISO-Leitfaden: Wie man eine security awareness Kultur schafft

13. Oktober 2023 - Cyber security

Teilen Sie

Ein starkes Sicherheitsprogramm muss auf Menschen, Prozesse und Technologie ausgerichtet sein. Dies wird oft als das "goldene Dreieck" bezeichnet.

Viele CISOs betrachten den Aspekt "Menschen" als den schwierigsten Teil dieses Rahmens. Bei weitem.

Die Zustimmung der Interessengruppen einholen. Die Mitarbeiter von Ihren Plänen zu überzeugen. Cyber-Bedrohungen klar und effektiv kommunizieren. Und vor allem der Aufbau einer Kultur, in der die Sicherheit immer an erster Stelle steht und nicht nur ein nachträglicher Gedanke ist.

Dieser CISO hier weiß, wie wichtig, aber auch komplex das sein kann 👇.

In diesem Artikel erörtern wir, wie CISOs eine security awareness Kultur in ihrer Organisation aufbauen können.

Doch zunächst sollten wir herausfinden, was eine security awareness Kultur eigentlich ausmacht.

Was ist eine security awareness Kultur (und warum ist sie wichtig)?

Die Kultur eines Unternehmens basiert auf den Überzeugungen und Verhaltensweisen der Organisation. Wenn ein Unternehmen eine starke security awareness Kultur hat, sind sich die Mitarbeiter über relevante Cyber-Bedrohungen im Klaren, welche Aktivitäten sie melden sollten und an wen sie sich in solchen Situationen wenden müssen. Wenn Ihr Unternehmen eine solide security awareness Kultur hat, wird dies nicht als nachträglicher Gedanke, sondern als Priorität angesehen.

In der heutigen Zeit ist die Konzentration auf eine starke security awareness Kultur von entscheidender Bedeutung. 95 % aller Hacks und Datenschutzverletzungen werden durch menschliches Versagen verursacht:

  • Anklicken von phishing Links
  • Nicht aktualisierte Software
  • Verwendung schwacher Passwörter
  • Arbeiten aus der Ferne ohne VPN

Und die Liste geht weiter.

Deshalb ist es schädlich, sich in Technologie und Prozessen zu verlieren, wenn wir unseren Mitarbeitern noch nicht die nötige Aufmerksamkeit geschenkt haben.

In einer Organisation, in der es keine ausgeprägte security awareness Kultur gibt, ist für die Sicherheit immer "jemand anderes zuständig". Was wir aber brauchen, ist ein gemeinsames Verantwortungsgefühl in der gesamten Organisation. Denn man ist nur so stark wie sein schwächstes Glied.

Dustin Moskovitz, Mitbegründer und CEO von Asana, spricht über Unternehmenskultur und betont, wie wichtig es ist, beharrlich zu sein und früh anzufangen. "Wenn Sie diese Arbeit aufschieben, weil sie sich jetzt schwierig und ablenkend anfühlt, bereiten Sie sich nur auf ein viel schwierigeres (und später vielleicht unmögliches) Problem vor, das Sie später lösen müssen. Die Kultur verstärkt sich selbst und wird mit der Zeit immer starrer, deshalb ist es wichtig, sie so früh wie möglich in die richtige Richtung zu lenken."

Aufbau einer security awareness Kultur in fünf Schritten

Nachdem wir nun die Bedeutung einer starken security awareness Kultur festgestellt haben, lassen Sie uns die Schritte besprechen, die Sie unternehmen müssen, um eine solche Kultur in Ihrem Unternehmen aufzubauen.

1. Unterstützung durch die Führung

Der erste Schritt, den Sie tun sollten, ist an der Spitze zu beginnen. Der Aufbau einer Kultur beginnt mit der Unterstützung durch Ihre Führung. Wenn die Führung nicht in security awareness investiert, ist alle andere Arbeit vergebens. Alle Unternehmenskulturen werden zu Beginn von oben nach unten kultiviert. Denn wenn der Vorstandsvorsitzende dies nicht als eine seiner Prioritäten ansieht, warum sollte dann jemand anders im Unternehmen so empfinden?

Wie bei jeder anderen Geschäftseinheit ist es Ihre Aufgabe als CISO, zu kommunizieren, wie sicher Ihr Unternehmen derzeit ist und welche Initiativen Sie geplant haben, um dies zu verbessern. Je regelmäßiger Sie darüber berichten, desto besser wird Ihre Botschaft im Laufe der Zeit ankommen.

Es ist hilfreich, regelmäßig ein Dashboard zu zeigen, mit dem sich das gesamte Führungsteam vertraut machen kann. Das könnten zum Beispiel die Ergebnisse des letzten Monats aus Ihrem Schulungsprogramm security awareness sein. daraus könnten Sie die folgenden Fragen beantworten:

  • Auf welche Cyber-Bedrohungen wurde das Team geschult?
  • Welche Themen erfordern mehr Aufmerksamkeit?
  • Welche Abteilungen schneiden am besten oder am schlechtesten ab?
  • Was sagen die Ergebnisse über unser allgemeines Sicherheitsniveau aus?

Sobald Sie die Zustimmung des Führungsteams erhalten haben, ist es an der Zeit, sich auf die "Champions" Ihrer Abteilung zu konzentrieren. Das können Teamleiter oder Leiter einer bestimmten Abteilung sein. Sie sind die Personen, die Ihnen bei der Einführung von Sicherheitsinitiativen das dringend benötigte Feedback geben werden.

Als CISO in einem größeren Unternehmen haben Sie höchstwahrscheinlich mit vielen verschiedenen Interessengruppen gleichzeitig zu tun, die alle einen unterschiedlichen Ansatz erfordern. Da kann man leicht den Überblick verlieren, mit wem man kommunizieren muss und wer die meiste Aufmerksamkeit braucht. Mit einer Vorlage für das Stakeholder-Management behalten Sie den Überblick.

2. Entwickeln Sie ein Markenstatement

Jetzt, wo Sie die Zustimmung der Führungskräfte haben, sollten Sie sie in den Prozess der Ausarbeitung einer Markenerklärung einbeziehen. Diese sollte alle wichtigen Fragen rund um Ihre Sicherheitsrichtlinien beantworten, z. B. wie Mitarbeiter Sie kontaktieren können oder wie Sie im Falle einer Cyber-Bedrohung vorgehen.

Laut CISO Jadee Hanson ist die beste Art und Weise, diese Markenaussage durchzusetzen, nicht, sie zu kommunizieren. Hanson ermutigt CISOs, das gewünschte Verhalten einfach zu feiern. Dies führt zu einem Schneeballeffekt innerhalb der Organisation, da die Mitarbeiter versuchen, die gleiche Anerkennung zu erhalten. Mehr darüber, wie Sie Ihr Team feiern können, erfahren Sie später in diesem Artikel.

3. Regelmäßige Mitarbeiterschulungen einrichten

Sie können keine starke security awareness Kultur haben, ohne Ihre Mitarbeiter über aktuelle Cyber-Bedrohungen zu schulen und darüber, was Sie zu schützen versuchen. Ihre Mitarbeiter müssen verstehen, wie groß das Risiko für Ihr Unternehmen ist und was auf dem Spiel steht.

In vielen Unternehmen werden security awareness Schulungen nur ein- oder zweimal pro Jahr angeboten, um Vorschriften wie der DSGVO zu entsprechen. Das ist nicht die Art von Schulung, über die wir hier sprechen.

Um ein echtes Bewusstsein zu schaffen, ist Wiederholung der Schlüssel. Untersuchungen haben ergeben, dass 90 % des in einem einmaligen Kurs Gelernten nach zwei Wochen wieder vergessen sind. Wenn Sie regelmäßig mundgerechte Schulungen anbieten, bauen die Mitarbeiter mit der Zeit Wissen auf und es kommt zu einer echten Verhaltensänderung. Es ist einfach unmöglich, eine security awareness Kultur aufzubauen, wenn die Mitarbeiter nur ein- oder zweimal im Jahr aktiv darüber nachdenken müssen.

Das Schaubild zeigt, wie regelmäßiges Training zum Erhalt von Wissen führt

Achten Sie bei der Suche nach der richtigen Schulungslösung darauf, dass sie nicht nur auf phishing ausgerichtet ist. Phishing ist die größte Cyber-Bedrohung, aber nicht die einzige. Sie brauchen ein Schulungsprogramm, das sich auf alle relevanten Themen konzentriert, einschließlich:

  • Phishing
  • Smishing
  • Sichere Fernarbeit
  • CEO-Betrug
  • Aktualisierung der Software
  • Ransomware

Es ist natürlich nicht notwendig, diese Schulung persönlich durchzuführen. Viele Sicherheitsexperten tun sich schwer mit der Vermittlung grundlegender security awareness Schulungen. Das liegt nicht an mangelnden Kenntnissen, sondern daran, dass Unterrichten eine unterschätzte Fähigkeit ist, über die nicht jeder verfügt. Komplexe Konzepte in Laiensprache zu erklären, ist eine Kunstform.

Mit einer Lösung wie Guardey erhält Ihr Team jede Woche eine 3-minütige Online-Herausforderung, um security awareness zu trainieren. Dieses Spiel security awareness wurde mit Hilfe von Sicherheitsexperten und Pädagogen entwickelt.

4. Kommunikation, Kommunikation, Kommunikation

Sobald die Akzeptanz und das Training vorhanden sind, ist es an der Zeit, zu kommunizieren, zu kommunizieren und noch mehr zu kommunizieren. Jeder CEO, der für den Aufbau einer starken Unternehmenskultur bekannt ist, ist dafür bekannt, dass er die Grundwerte immer wieder wiederholt.

Als CISO müssen Sie regelmäßig die Aufmerksamkeit auf sich ziehen, Ihre Sicherheitsprioritäten kommunizieren und die gemeinsame Verantwortung des gesamten Teams betonen.

Abgesehen von der oft etwas trockenen (aber notwendigen) Kommunikation von Sicherheitsrichtlinien und wichtigen Aktualisierungen sollten Sie einen positiven Ansatz wählen. Eine gute Möglichkeit ist, sicherheitsbewusstes Verhalten aktiv anzuerkennen, zu belohnen und offen zu würdigen.

Teilen Sie im Slack-Kanal des Unternehmens eine Nachricht darüber, wie Peter eine Cyber-Bedrohung gemeldet hat, die dem Unternehmen viel Ärger erspart hat. Oder teilen Sie die Ergebnisse Ihrer security awareness Schulungslösung mit und feiern Sie die besten Teilnehmer während einer Keynote. Die Möglichkeiten sind endlos.

Transparenz ist hier der Schlüssel. Stellen Sie sicher, dass Sie und Ihr Team ansprechbar sind und dass es Kanäle gibt, über die auch der Rest der Organisation Sie erreichen kann.

5. Messen, bewerten und verbessern

Messen heißt wissen. Damit Sie wissen, ob sich Ihre security awareness Initiativen auszahlen, müssen Sie einige wichtige Leistungsindikatoren (KPIs) festlegen.

Wenn Sie eine security awareness Schulungslösung wie Guardey verwenden, können Sie einfach einen Blick auf Ihr Dashboard werfen und sehen, wie gut Ihr Team abschneidet. Wöchentlich erhalten Sie neue Erkenntnisse darüber, bei welchen Themen Ihr Team gut abschneidet und welche Themen mehr Aufmerksamkeit erfordern. Es zeigt Ihnen auch, wie gut sich das Team beteiligt. Eine hohe Teilnahmequote ist entscheidend und ein wichtiger Indikator dafür, dass das Team die Ausbildung schätzt.

Eine unterschätzte Möglichkeit, die Auswirkungen Ihrer security awareness Bemühungen zu messen, besteht jedoch darin, die nicht so offensichtlichen Signale zu beachten:

  • Gibt es eine Zunahme der Berichte über Cyber-Bedrohungen?
  • Rufen sich die Kollegen gegenseitig zu unerwünschtem Verhalten auf?
  • Bekommen Sie insgesamt mehr Fragen zur Sicherheit?

Dies sind alles eindeutige Anzeichen für ein gesteigertes Verantwortungsbewusstsein. Der Moment, in dem die Menschen in Ihrem Unternehmen proaktiv werden, ist der Moment, in dem man wirklich von einer security awareness Kultur sprechen kann.

Als CISO erkennen Sie vielleicht nicht immer alle diese Signale, insbesondere in größeren Unternehmen. Deshalb kann eine regelmäßige Umfrage zum Sammeln von Feedback hilfreich sein.

Sobald Sie all diese Erkenntnisse gesammelt haben, ist es wichtig, sie tatsächlich zu nutzen und die bestehenden Prozesse zu verbessern.

Ihre Mitarbeiter könnten Ihre stärkste Firewall sein

Kultur" ist ein schwammiges Wort, mit dem man leicht um sich werfen kann. Es ist fast genauso einfach, ein paar Grundwerte aufzuschreiben und es dabei zu belassen.

Aber die Förderung einer security awareness Kultur ist harte Arbeit. Ihre Organisation, einschließlich Ihres Führungsteams, könnte Sie als Hindernis betrachten. Sie sehen Sicherheit vielleicht als "nicht ihr Problem" an. Und es ist schwierig, diesen Schalter umzulegen. Aber wenn Sie es tun, werden die Ergebnisse es wert sein.

Ressourcen, die Sie interessieren könnten

Cyber security
Die 10 besten security awareness Bewertungen für Mitarbeiter
Über NIS2
Cyber security
Cyber security Ausbildung für Studenten: die 10 besten Lösungen
Dankeschön
Cyber security
Die 16 besten security awareness Spiele für Arbeitnehmer im Jahr 2024
Ressourcenzentrum
Anouk CTA Guardey Website
14 TAGE KOSTENLOS TESTEN

Erleben Sie Guardey noch heute.

  • Testen Sie völlig risikofrei
  • 24/7 Unterstützung
14-tägige kostenlose Testversion starten