Cyberangriffe sind so häufig, dass sie regelmäßig in den nationalen Nachrichten erscheinen. Es gibt viele Gründe, warum Betrug und Cyberkriminalität zugenommen haben. Dennoch ist die Manipulation und das Social Engineering unserer Mitarbeiter und der von ihnen verwendeten Software ein typischer Ausgangspunkt für diese Angriffe.
Weltweit arbeiten Organisationen am Aufbau einer Sicherheitskultur, um dem menschlichen Faktor bei Cyberangriffen entgegenzuwirken. Wenn Ihr Unternehmen jedoch noch eine solche Sicherheitskultur schaffen muss und Bedrohungen und Schwachstellen Ihr Unternehmen zunehmend gefährden, müssen Sie sich fragen, ob eine gute Cybersicherheitsschulung eine schlechte Cybersicherheitskultur ändern kann.
Anzeichen für eine schlechte Cybersicherheitskultur und Wege zur Behebung des Problems
Eine schlechte Cybersicherheitskultur hat verräterische Warnzeichen, auf die man achten sollte. Im Folgenden finden Sie einige der offensichtlichsten sowie einige Maßnahmen, die eine schlechte Cybersicherheitskultur mit Hilfe von guten Cybersicherheitsschulungen ändern können:
Nur reden und nichts tun
Eine Sicherheitskultur wird von oben nach unten und von unten nach oben durchdrungen. Jeder muss ermutigt werden, Teil eines größeren Ganzen zu sein und auf ein gemeinsames Ziel hinzuarbeiten, bei dem die Sicherheit ernst genommen wird. Jeder, von der Vorstandsetage bis zu den Aushilfskräften, sollte verstehen, was es bedeutet, die Sicherheit an die erste Stelle zu setzen, und wie man das genau macht.
Es wird sich nichts ändern, wenn Ihr Unternehmen zwar über Sicherheit spricht, aber keine praktischen Maßnahmen zur Bekämpfung von Bedrohungen anbietet. Wenn Sie Ihren Mitarbeitern erklären, wie sie sich absichern können, werden sie in der Lage sein, bei versuchten Cyberangriffen wie Phishing-E-Mails oder Social Engineering richtig zu reagieren.
Den Worten Taten folgen lassen: Um den Worten Taten folgen zu lassen, muss die Unternehmensführung praktische Maßnahmen zur Unterstützung der Sicherheitsbemühungen ergreifen. Dies erfordert eine positive, kontinuierliche Sicherheitsaufklärung in der gesamten Organisation, die den Mitarbeitern die Mittel an die Hand gibt, um die Sicherheitsbemühungen des Unternehmens zu unterstützen.
Eine Kultur der Schuldzuweisung, nicht der Sicherheit
Schuldzuweisungen sind eine giftige und schädliche Kultur, die bei Cyberangriffen schnell entstehen kann, vor allem, wenn sie immer wieder vorkommen. Es ist einfach, mit dem Finger auf die Mitarbeiter zu zeigen und ihnen die Schuld für Missgeschicke zu geben, z. B. für das Öffnen einer potenziell bösartigen E-Mail. Doch je mehr mit dem Finger auf andere gezeigt wird, desto mehr wird sich die allgemeine Atmosphäre in Bezug auf das Sicherheitsverhalten verschlechtern.
Darüber hinaus ist dieses Verhalten genauso schädlich wie das Anklicken eines Phishing-Links, da es ein Umfeld des Misstrauens schafft und ein schlechtes Sicherheitsverhalten aufrechterhält.
Schluss mit Schuldzuweisungen durch offene Kommunikation: Sündenböcke und Schuldzuweisungen sind das Gegenteil einer guten Cybersicherheitskultur. Arbeiten Sie stattdessen am Aufbau von Vertrauen, so dass sich ein Mitarbeiter, der einen Fehler macht, wohl fühlt, wenn er dieses Missgeschick offenlegen kann. Zu einer guten Sicherheitskultur gehört eine gute Kommunikation. Wenn ein Mitarbeiter die IT-Abteilung über einen Sicherheitsfehler informiert, z. B. über die versehentliche Weitergabe sensibler Daten, kann das Team schneller handeln, um die Datengefährdung zu verringern.
Ignorieren, was die Metriken Ihnen sagen
Wenn die Sicherheitskultur aus den Fugen gerät, zeigt sich das Problem in den Schwachstellenmetriken des Unternehmens: Der menschliche Faktor in der Cybersicherheit ist allgemein bekannt, und schockierende Statistiken zeigen, dass 82 % aller Cyberangriffe auf menschliches Versagen zurückzuführen sind. Menschliches Versagen tritt auf, wenn Menschen sich nicht bewusst sind, wie ihre Handlungen zu Datenlecks führen oder ein Unternehmen gefährden können. Wenn Sie also eine Zunahme potenzieller oder tatsächlicher Sicherheitsverletzungen feststellen, kann dies auf Mitarbeiter und andere Nicht-Mitarbeiter zurückzuführen sein.
Metriken sind Ihr Freund: Nutzen Sie die Metriken, die von den Programmen zur Schulung des Sicherheitsbewusstseins und den simulierten Phishing-Programmen bereitgestellt werden, um problematische Punkte zu ermitteln. Mithilfe von Metriken können Sie die Schulung so anpassen, dass sie effektiver ist. Darüber hinaus kann die Schulung auf der Grundlage von Rollen angepasst werden, um die Aufmerksamkeit auf bestimmte gefährdete Bereiche zu lenken.
In einem Ohr rein und aus dem anderen raus
Eine ineffektive Sicherheitskultur kann zu ineffizientem Lernen über Sicherheit führen. Langweiliges, sich wiederholendes Schulungsmaterial kann Mitarbeiter abschrecken und Ihre Chancen auf den Aufbau einer soliden Sicherheitskultur beeinträchtigen.
Aktives Lernen findet statt, wenn die Menschen sich engagieren und sich auf einer emotionalen Ebene mit dem Material verbinden können. Zum Beispiel, wenn Sie keine bewährten und vertrauenswürdigen Inhalte für das Sicherheitsbewusstsein bereitstellen. In diesem Fall könnten Sie feststellen, dass die Informationen zum einen Ohr rein und zum anderen wieder raus gehen, so dass die Mitarbeiter wichtige Lernerfahrungen vergessen und das schlechte Sicherheitsverhalten unverändert bleibt.
Stimulierendes Material wirkt Wunder: Stellen Sie anregendes Lernmaterial bereit, das Ihre Mitarbeiter anspricht. Nutzen Sie bedarfsorientierte Schulungen, damit die Mitarbeiter bei der Schulung lernen und dazu beitragen, schlechtes Verhalten in gutes zu verwandeln. Ansprechendes Material bleibt bei den Mitarbeitern haften und fördert das Sicherheitsdenken, das zur Festigung einer Sicherheitskultur erforderlich ist.
Ausbildung ist unverbunden
Kulturen aller Art beruhen auf Vertrauen und Kommunikation. Eine schlechte Sicherheitskultur kann entstehen, wenn die Mitarbeiter Bedenken oder Probleme nicht mit den Vorgesetzten besprechen. Problematisch wird es, wenn sich die Vorgesetzten von der Sicherheitskultur abgekoppelt fühlen. Dies kann der Fall sein, wenn Schulungsprogramme nicht auf das Management zugeschnitten sind oder wenn das Schulungsmaterial nicht auf bestimmte Abteilungen und Funktionen zugeschnitten ist.
Verbinden Sie Rollen und Abteilungen:
- Bauen Sie bei der Entwicklung von Sicherheitstrainingsprogrammen Beziehungen auf und überwinden Sie Grenzen, indem Sie Kampagnen für bestimmte Rollen entwickeln.
- Beziehen Sie alle Mitarbeiter in die Schulungen ein, denn jeder in einer Organisation spielt eine Rolle im Unternehmen, und jeder muss Teil der Sicherheitskultur sein.
- Verwenden Sie Schulungsmaterial, das die Verbindung zwischen Management und Mitarbeitern durch gemeinsame Schulungsveranstaltungen, wie z. B. Spiele im Stil eines Escape Rooms, fördert.
Mangelndes Involvement
Kulturen blühen auf, wenn sie alle einbeziehen. Menschen sind sozial und prosoziales Verhalten ist Teil des Aufbaus solider und kooperativer Gemeinschaften. Wenn Sie nicht alle in Ihre Sicherheitsschulung einbeziehen, werden sich Fraktionen bilden, die ein schlechteres Sicherheitsverhalten zeigen als diejenigen, die an der Schulung teilgenommen haben. Die mangelnde Beteiligung einiger wird sich auf die Entwicklung einer kohärenten Sicherheitskultur und -gemeinschaft auswirken.
Zuhören und lernen: Wenn Sie Ihren Mitarbeitern zuhören, können Sie ein Gefühl der Gemeinschaft und des Vertrauens entwickeln. Führen Sie eine Politik der offenen Tür, um Verbindungen herzustellen, die zu besseren Sicherheitsmaßnahmen führen. Hören Sie zu und lernen Sie: Beziehen Sie Ihre Mitarbeiter in Sicherheitsschulungen ein, z. B. im Rahmen der jährlich stattfindenden Cyber Security Awareness Week. Gut zuhören zu können, ist eine großartige Einbindungsstrategie. Sie trägt auch zur Entwicklung eines Gemeinschaftsgefühls bei, das für die Entwicklung einer robusten und wirksamen Sicherheitskultur unerlässlich ist.
Es gibt ein Sprichwort, das Sie sicher schon einmal gehört haben: "Vereint stehen wir, geteilt fallen wir." Dieses Sprichwort bringt zum Ausdruck, wie wichtig es ist, zusammen auf ein gemeinsames Ziel hinzuarbeiten; dabei wird das "Ganze größer als die Summe der Teile". Sicherheitsschulungen sollten die gesamte Organisationsgemeinschaft einbeziehen und auf der Grundlage gemeinsamer Erfahrungen und Anliegen Brücken bauen. Durch ein unterhaltsames, ansprechendes und informatives Programm für Sicherheitsschulungen kann Ihr Unternehmen diese schwer fassbare, aber wichtige Sicherheitskultur schaffen.
