Security starts with you!

von Michael Meli

Artikel erschienen in Swiss IT Magazine 2016/09

     

Negativ formuliert sind die Mitarbeiter das schwächste Glied in der Verteidigungskette gegen Cyberkriminelle oder Hacker. Desweitern wird der Beitrag, welchen Mitarbeiter einer Firma an die Sicherheit leisten können, häufig unterschätzt. Das manifestiert sich dann in weltfremden Sprüchen wie "wir wären ja sicher, wenn wir bloss keine Mitarbeiter hätten".

Wir sind jedoch alle gut beraten, dieses Paradigma radikal zu ändern: tatsächlich sind Mitarbeiter die stärkste Bastion im täglichen Kampf gegen Malware, Hacker & Co. Folglich muss man sie für diese Sache gewinnen und bewirken, dass sie sich wirklich in der Verantwortung für Sicherheit sehen. Das machen Sie jedoch nur, wenn sie das Anliegen verstehen und die Werte die damit einhergehen, teilen.
Dieses Ziel kann nur durch einen Kulturwandel erreicht werden. Also über eine der schwierigsten Disziplinen überhaupt. Der Weg dorthin ist aber aus verschiedenen Gründen beschwerlich und steinig, nicht zuletzt, weil die „Sicherheit“ in der Vergangenheit das negative Image des "Verhinderers" reichlich gepflegt oder den Mitarbeitern im Befehlston vorgeschrieben wurde, was sie zu tun oder zu lassen haben. Seien wir ehrlich: das Thema ist negativ in den Köpfen der Mitarbeiter besetzt.


Damit der angestrebte Kulturwandel initiiert und umgesetzt werden kann, gilt es nun, diese Verkrustungen aufzubrechen. Dabei ist es äusserst wichtig zu verstehen, dass es sich bei diesem Vorhaben um eine Reise handelt, da der Wandel weder angeordnet, noch per Projekt umgesetzt werden kann. Es stehen jedoch eine ganze Reihe von Instrumenten zur Verfügung, welche die Zielerreichung aktiv unterstützen. Die folgende Aufzählung ist nicht abschliessend und behandelt nur die wichtigsten Elemente.
• Awareness Kampagne
Dreh- und Angelpunkt für die Initiierung des Kulturwandels ist eine wirksame Awareness Kampagne. Der Inhalt sollte spritzig und unkonventionell sein, aber trotzdem die wichtigsten Anliegen transportieren, damit die Aufmerksamkeit der Mitarbeiter geweckt und in den Köpfen verankert wird. Ebenfalls wichtig ist ein griffiger Slogan und ein ansprechendes Logo oder Testimonial. Die Kampagne selber sollte dabei verscheide Elemente (Poster, Blogs, Spiele, Stände, etc.) und Themen umfassen, welche zeitlich gestaffelt zum Zug kommen. Poster sollten zum Beispiel nur 2-3 Wochen in Wellen (6-8 Wochen Pause) ausgehängt werden. Ein veritables Marketingkonzept muss erstellt und umgesetzt werden.

• Sag niemals nie
Ein wesentlicher Anteil am negativen Image von Sicherheit liegt in der Tatsache, dass die Sicherheitsverantwortlichen häufig als „Nein-Sager“ auftreten und somit als Verhinderer wahrgenommen werden. Diese Perzeption muss geändert werden, was aber nicht heissen soll, dass der Security Officer nun zum „Ja-Sager“ mutieren soll, sondern er wird zum „Ja, aber … Sager“. Mit anderen Worten, es sollen Alternativen aufgezeigt, Bedingungen gestellt und generell mitgedacht werden. Dieses neue Verhalten wird die Wahrnehmung des Themas Sicherheit im Unternehmen stetig verbessern und dadurch den angestrebten Kulturellenwandel unterstützen.


• Neues Selbstverständnis
Sicherheit muss heute als integraler Bestandteil der Wertschöpfungskette eines Unternehmens betrachtet werden. Es gilt daher, die Dienstleistungserbringung des Unternehmers zu befähigen, ohne zu grossen Risiken einzugehen oder diese gar zu behindern (sag niemals nie). Dieser Umstand bedingt ein neues Rollenverständnis und Mentalität der Sicherheitsorganisation, damit diese Verantwortung auch wahrgenommen werden kann.

Nebst diesen drei Elementen gibt es noch viele weitere, welche auf der Klaviatur des Kulturwandels bespielt werden können und diesen dementsprechend unterstützen. Es ist jedoch auch so, dass es ohne diese drei Grundelemente nicht möglich ist, den angestrebten Wandel in Gang zu bringen. Frei nach Bill Clinton: it’s the people, stupid.

Der Autor

Michael Meli ist ein ausgewiesener Sicherheitsexperte mit über 17 jähriger Erfahrung in den Bereichen Informationssicherheit, physische Sicherheit und IT-Audit. Er besitzt eine breite Erfahrung in der erfolgreichen Restrukturierung, inklusive Implementierung, von agilen und "business enabling" Sicherheitsorganisationen und war 4 Jahren lang ein aktives Mitglied des Information Security Forum (ISF) Councils. Herr Meli besitzt einen Master-Abschluss in Informations- und Technologiemanagement der Universität St. Gallen (HSG).

ISACA After Hours Seminare

4. Oktober 2016, 16:40 Uhr in Bern
Thema: Detektion und Incident Response als Mittel zur Risikoreduktion
Malware aus dem kriminellen Umfeld (Bankentrojaner und Ransomware) entwickelt sich immer schneller und gleichzeitig steigt die Bedrohung durch staatliche und parastaatliche Akteure. Diese Angriffe können oft nicht mehr mit den klassischen Werkzeugen wie Virenscanner und Firewalls abgewehrt werden. Im Vortrag werden kurze Kochbuchartige Rezepte vorgestellt, mit welchen ohne grosse finanzielle Investitionen die Detektion verbessert werden kann.
Referent: Reto Inversini, MELANI


6. Dezember 2016, 16:40 Uhr in Zürich
Thema: ist noch nicht festgelegt
Bitte informieren Sie sich auf unserer Website www.isaca.ch.
Referentin: Prof. Dr. Petra Maria Asprion, Business Informatics, Bern University of Applied Sciences


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER