Das Bewusstsein für Cybersicherheit muss sich von bloßer Anwesenheit hin zu echtem Verständnis entwickeln.

Seien wir ehrlich, wir haben eine Hassliebe zum Thema Sicherheitsbewusstsein. Für die Mitarbeiter ist es ein notwendiges Übel, ein Stück Zeit, das sie nie wieder zurückbekommen, ohne dass sie dafür etwas lernen. Für die Sicherheitsteams ist es eine Erwartung, die erfüllt werden muss, aber nie einen greifbaren Nutzen zu bringen scheint.

Dies war sicherlich in vielen (ich wage zu behaupten: in den meisten) Organisationen vor einigen Jahren der Fall, aber es gibt auch einige Lichtblicke da draußen. Wir bemühen uns, unsere Mitarbeiter bei ihrer Arbeit zu beeinflussen - wenn sie Entscheidungen treffen, Gewohnheiten folgen und durch unerwartete Situationen navigieren.

Das Tempo unseres Arbeitslebens hat sich in den letzten Jahren unglaublich beschleunigt. Fernarbeit, Matrixmanagement und Tools zur Zusammenarbeit bedeuten, dass die meisten von uns mit Eingaben und Anfragen aus allen Richtungen bombardiert werden. Und in diese Umgebung werfen wir diese 10-Fragen-Multiple-Choice-Schulung zum Thema “Sicherheitsbewusstsein” hinein. Das Ergebnis sollte uns nicht überraschen. (Ich warte sehnsüchtig auf einen Artikel in den Wirtschaftsmedien über die Auswirkungen der sich verändernden Arbeitsumgebung auf das Sicherheitsrisiko).

Wie können wir also die Dinge besser machen? Führende Denker haben sich mit der Erkenntnis abgefunden, dass sie es mit Menschen zu tun haben und dass die Materie nicht binär ist. Ich würde vorschlagen, dass wir uns auf zwei Aspekte des “Schulung, Bildung und Sensibilisierung”Dreiklang (die Sicherheit liebt den Dreiklang, nicht wahr?). Wenn man versucht, das Verhalten zu ändern, kann man meiner Meinung nach nur damit beginnen Bildung.

Bildung ist traditionell der schwächste Bereich von Sicherheitsprogrammen, doch sie ist der Schlüssel, um den Menschen, denen wir helfen wollen, Verständnis entgegenzubringen.

Wie sieht also gute Bildung aus? Jeder, der in den letzten 20 Jahren mit mir zusammengearbeitet hat, wird gehört haben, wie ich über Folgendes gesprochen habe Warum, Was und Wie - und wie wichtig es ist, sie in die richtige Reihenfolge zu bringen.

Warum

Lassen Sie uns die Geschichte auspacken Warum. Für mich muss es einen unmittelbaren und nachvollziehbaren Zusammenhang geben. Was bedeutet es für die Organisation, und was bedeutet es für mich? Zwei Beispiele fallen mir dazu ein:

• Ein Beispiel auf Organisationsebene: Eines der größten Risiken für unsere 3-Jahres-Strategie wäre der Vertrauensverlust bei Kunden und Interessenten, der durch einen schlecht gemanagten Cybervorfall verursacht würde.
• Ein rollenspezifisches Beispiel: Von den Mitarbeitern des Callcenters wird erwartet, dass sie mehrmals am Tag mit unseren Kunden in Kontakt treten und Zugang zu sensiblen Informationen haben. Das Risiko, Informationen an den falschen Kunden oder einen Angreifer weiterzugeben, erfordert ständige Wachsamkeit. Wir dürfen nicht vergessen, dass die Informationen, über die wir verfügen, von Cyber-Kriminellen aktiv gesucht werden.

Was

Nun zu den Was. Auch hier würde ich sagen, dass dies fundiert und kontextbezogen sein sollte. Als ein Beispiel:

• Angreifer hacken sich nicht in Systeme ein, sie loggen sich ein. Diese Aussage unterstreicht die entscheidende Bedeutung von Anmeldedaten - Ihrem Benutzernamen und Ihren Kennwörtern. Wenn ein Angreifer diese in die Hände bekommt, spart er Zeit und kommt seinem Ziel näher. Es ist daher nicht verwunderlich, dass 90% der Cyberangriffe mit Phishing beginnen, der häufigsten Methode, um an Zugangsdaten zu gelangen. Schlechte Passworthygiene - Verwendung schwacher Passwörter, Wiederverwendung von Passwörtern auf verschiedenen Systemen zu Hause und am Arbeitsplatz - erleichtert den Angreifern die Arbeit.

Ich hoffe, dass Sie an dieser Stelle den Versuch erkennen können, den Mitarbeitern einige Informationen und Zusammenhänge zu vermitteln, die sich langsam in ihr Denken einprägen, die begründen, warum der nächste Schritt notwendig ist, und die Wahrscheinlichkeit erhöhen, dass er angenommen wird.

Natürlich gibt es hier eine ganze Reihe von Themen zu behandeln, aber für mich sollte sich die Bildungsphase auf das Warum und Was konzentrieren.

Wie

Ich denke, der nächste Schritt ist Ausbildung, da dies der Ort ist, an dem Wie Leben. Einige Grundsätze sind gleich geblieben - relevant und kontextbezogen -, aber wir gehen jetzt zu spezifischen Dos und Don'ts über.
Zum Beispiel:

• Wenn es nicht richtig aussieht oder nicht erwartet wird, melden Sie es. Wir werden ins Visier genommen, und Sie können helfen, einen Angriff zu erkennen und zu verhindern.
• Verwenden Sie immer einen Passwort-Manager, um sichere Passwörter für Sie zu erstellen und zu speichern. Das sorgt für die richtige Stärke, und man muss sich um nichts mehr kümmern.
• Erwarten Sie die Verwendung der Multi-Faktor-Authentifizierungs-App (MFA) für unsere Systeme - es ist ein wichtiger Schutz. Eine Aufforderung zur Genehmigung der MFA sollte nur dann erfolgen, wenn Sie sich bei unseren Systemen anmelden. Geben Sie niemals den Bestätigungscode weiter.

Die Art und Weise, wie diese Informationen vermittelt werden, kann variieren (ich denke, wir können uns darauf einigen, dass der schlimmste Fall eine statische PowerPoint-Folie sein dürfte). Es sollte jedoch von unterschiedlichen Erfahrungsstufen ausgegangen werden - daher sollten die Aussagen wirklich durch leicht verständliche Anleitungen für diejenigen unterstützt werden, die sie benötigen.

In meinem ersten Blog über das Bewusstsein für Cybersicherheit geht es also nicht um das Bewusstsein, aber Sie verstehen hoffentlich, warum. Wenn wir die Aus- und Weiterbildung vorantreiben, können wir den Menschen helfen, von der “Anwesenheit zum Verständnis” zu gelangen und ein viel fruchtbareres Umfeld für eine bessere Entscheidungsfindung und sicherere Gewohnheitsbildung zu schaffen.

In künftigen Beiträgen werde ich auf das Bewusstsein als kontinuierlichen “Anstoß” zurückkommen und in einem weiteren Blog auf die verhaltensbezogene Seite der Mitarbeiter eingehen.