< Zurück
Blog

Haben Sie eine Kultur, in der offen gesprochen wird?

Ich gebe Ihnen einen Tipp: Wenn Ihre Mitarbeiter es nicht sind, dann sind Sie es auch nicht!

Wir werden erneut feststellen, dass die meisten Organisationen die Notwendigkeit, Probleme, Vorfälle oder Bedenken zu melden, in verschiedenen Sensibilisierungsmaterialien und Richtlinien verstreut beschreiben. Aber es besteht ein himmelweiter Unterschied zwischen dem, was geschrieben steht, und dem, was tatsächlich getan wird.

In diesem Blog werde ich versuchen, einige der Faktoren herauszuarbeiten, die das menschliche Verhalten beeinflussen, und zu erklären, warum Ihre Mitarbeiter sich möglicherweise nicht an diesem Prinzip orientieren. Aufgrund der Vielzahl möglicher Szenarien wird dieser Beitrag etwas länger ausfallen, aber bitte haben Sie etwas Geduld und stellen Sie sich selbst die Frage: “Könnten dies Faktoren in meinem Unternehmen sein?”

  • Es ist nicht klar, was zu melden ist.
  • Es ist nicht klar, wie man dies melden soll.
  • Es ist kompliziert, darüber zu berichten.
  • Wenn Sie das tun, passiert nichts.
  • Wenn du das tust, fühlst du dich nicht wertgeschätzt.
  • Du hast keine Ahnung, ob es noch jemand anderes gibt.

Also, lassen Sie uns diese Punkte einzeln durchgehen.

1. Es ist nicht klar, was zu melden ist.

Dieses Thema steht im Mittelpunkt von mein zweiter Blog in der Reihe “Defining Weird” (Das Seltsame definieren)” Ich bin mir sicher, dass Sie diese gelesen haben und für einen kurzen Test gut vorbereitet sind! Für diejenigen, die eine Auffrischung benötigen: Meine These lautet, dass gut gemeinte Sicherheitsfachleute dazu neigen, Annahmen darüber zu treffen, was ungewöhnlich, riskant und erwähnenswert erscheint. Wir müssen unsere Risikoszenarien betrachten und sie aus der Perspektive der Mitarbeiter durchdenken. Überfordern Sie sie nicht mit den Motiven und Techniken verschiedener Bedrohungsakteure. Seien Sie konkret in Bezug auf Dinge, die einem Mitarbeiter auffallen könnten, seien es “Systemmeldungen” oder das Verhalten von Personen. Klarheit darüber, was gemeldet werden sollte, erhöht nur die Wahrscheinlichkeit, dass dies auch geschieht.

2. Es ist nicht klar, wie man dies melden soll.

An dieser Stelle könnte man ein leises Schnurren von jemandem hören, der einen Prozess für die Bibliothek des Informationssicherheits-Managementsystems (ISMS) entworfen hat: “Natürlich ist das definiert, sehen Sie sich mein Prozessdiagramm an!” Wir müssen wirklich über die Mitarbeiter und die von den Organisationen verwendeten Tools nachdenken. Wenn ein Intranet verwendet wird, stellen Sie sicher, dass es einen prominenten Ort gibt, an dem auf die Informationen verlinkt werden kann, verwenden Sie Microsoft Teams oder Slack und richten Sie einen Kanal ein. Eine E-Mail-Adresse, die in einer Richtlinie versteckt ist, reicht nicht aus.

3. Es ist kompliziert, darüber zu berichten.

Während das Melden von Problemen eine klare Verantwortung aller Nutzer Ihrer Systeme und Daten ist (sein sollte), konkurrieren wir auch um die Zeit und Aufmerksamkeit der Person, die versucht, etwas zu melden. In anderen Bereichen der Notfallhilfe spricht man von der “goldenen Stunde”, einem Zeitraum, in dem eine schnelle Informationsbeschaffung und Reaktion über Erfolg oder Misserfolg entscheiden können. Der Konflikt, mit dem wir uns hier befassen, besteht zwischen dem Wunsch nach möglichst vielen Informationen und der Benutzererfahrung der Person, die Kontakt aufnehmen möchte. Je nach Organisation kann das technische Wissen sehr unterschiedlich sein.

Wenn Sie also Personen bitten, Formulare auszufüllen, stellen Sie sicher, dass diese verständlich sind – ich würde vorschlagen, nicht-technische Nutzer in deren Gestaltung einzubeziehen. Ich würde außerdem dringend empfehlen, dem Melder eine einfache Möglichkeit zu bieten, mit einem realen Menschen zu sprechen. Komplexe Formulare, ein ungutes Gefühl beim Melden eines Kollegen oder eine gewisse Verlegenheit aufgrund mangelnder technischer Kenntnisse sind reale Faktoren, die es zu berücksichtigen gilt. Wie gut gehen Sie damit um?

4. Es passiert nichts, wenn Sie das tun.

Die nächsten drei Faktoren sind miteinander verflochten. Als Menschen verlieren wir schnell das Interesse und den Respekt für eine Aufgabe oder einen Prozess, der nicht zu funktionieren scheint oder keine Ergebnisse bringt. Tatsächlich ermutigen viele Unternehmen ihre Mitarbeiter aktiv dazu, solche Situationen zu identifizieren. Wenn Ihr Sicherheitsmeldesystem also kein Feedback auf Makro- oder individueller Ebene gibt, sollten Sie sich nicht wundern, wenn es so stark an Wert verliert, dass es ignoriert wird. Es bietet sich eine großartige Gelegenheit, Vorfälle als Ad-hoc-Methode zu nutzen, um kontextreiche Beispiele dafür zu geben, worauf die Menschen achten sollten.

5. Wenn du das tust, fühlst du dich nicht wertgeschätzt.

Belohnung, Anerkennung und – ganz wichtig – Wertschätzung sind gängige Motivatoren, vor allem am Arbeitsplatz. Wenn Mitarbeiter Probleme aufzeigen, sind wir es ihnen schuldig, ihre Bemühungen anzuerkennen – und Feedback zu geben. Selbst wenn wir der Meinung sind, dass es sich nicht um ein Problem handelt, besteht die Möglichkeit, ins Gespräch zu kommen und zu erklären, was möglicherweise eine Gefahr dargestellt hätte, um das Interesse aufrechtzuerhalten. Wenn es sich um ein echtes Problem handelte, können wir auf hoher Ebene diskutieren, was wir tun konnten, um die Gefahr zu bewältigen. Einige Unternehmen fördern “Sicherheitschampions” und zeichnen Personen außerhalb des Sicherheitsbereichs aus, die einen Beitrag geleistet haben. Finden Sie wie immer etwas, das zu Ihrer Unternehmenskultur passt – aber stellen Sie zumindest sicher, dass die Personen einbezogen werden und sich wertgeschätzt fühlen.

6. Du hast keine Ahnung, ob es noch jemand anderes gibt.

Die Tatsache, dass potenzielle Probleme gemeldet werden, öffentlich zu machen, ist ein wichtiger Schritt, um dies zu einem normalen, erwarteten Verhalten zu machen. Wir sollten uns bemühen, hochwertige Informationen über die Anzahl der Meldungen, die Kategorien der gemeldeten Probleme und die Maßnahmen, die wir aufgrund dieser Informationen ergriffen haben, bereitzustellen. Beziehen Sie aktuelle Statistiken in Ihre Einführungsveranstaltungen ein, damit dies zu einer Selbstverständlichkeit wird.“

Ich hoffe, ich habe damit die verschiedenen Faktoren aufgezeigt, die die Wahrscheinlichkeit beeinflussen können, dass jemand ein Problem meldet. Ich möchte betonen, dass es sich dabei größtenteils um menschliche Faktoren handelt, nicht um technische. Ich würde Ihnen empfehlen, mit Ihren Mitarbeitern ins Gespräch zu kommen, um ihre Ansichten und ihr Verständnis dafür zu verstehen, was wann und wie zu tun ist. Die Sicherheit benötigt die Daten, aber in diesem Fall sind unsere Mitarbeiter die “Kunden”.

Teilen

Artikel von

Gareth Lindahl-Wise

Leitender Sicherheitsberater und CISO

Gareth ist Chief Security Advisor und CISO bei Ontinue. Als CISO sorgt Gareth dafür, dass die interne Informationssicherheit von Ontinue sowie die Sicherheit der von Ontinue ION verwalteten erweiterten Erkennungs- und Reaktionsdienstplattform den Bedrohungen, denen wir ausgesetzt sind, und dem Vertrauen, das unsere Kunden in uns setzen, angemessen sind. Als Chief Security Advisor hat Gareth auch eine nach außen gerichtete Funktion, um das Bewusstsein für neue Bedrohungen und neuartige Wege zu deren Bekämpfung zu schärfen. Mit dem Fokus von Ontinue auf Microsoft-Technologien und der Bedeutung von Menschen und Prozessen hilft er potenziellen Kunden zu verstehen, wo unsere Dienstleistungen eingesetzt werden können.

Verwandte Links

  • Unsere Geschichte der ununterbrochenen Sicherheit

    Entstanden in der Cloud, entwickelt, um das Beste zu sein, konstruiert, um zu liefern, und unterstützt durch die neueste Technologie und die klügsten Köpfe. Ontinue ist all das … und noch viel mehr.

    Über uns >

  • Ihre Karriere bei Ontinue

    Wir möchten Ontinue zu einem Ort machen, an dem Sie jeden Tag in jeder Hinsicht Ihr Bestes geben können. Wir sind stolz darauf, dass wir kürzlich in allen sieben Ländern, in denen wir Niederlassungen unterhalten, als „Great Place To Work” ausgezeichnet wurden. Möchten Sie sich uns anschließen?

    Machen Sie mit >
Schlüsselwörter

Verwandte Artikel

Ein Mann in einem hellblauen Hemd, der mit den Händen gestikuliert, während er in einer modernen Büroumgebung auf einen Laptop schaut.
Blog
Definition von “seltsam” und andere Möglichkeiten, Phishing-Angriffe zu erkennen

Blog anzeigen >
Ein Mann mit kurzen dunklen Haaren, der ein Jeanshemd trägt, sitzt an einem Schreibtisch und blickt nachdenklich auf einen Computerbildschirm, im Hintergrund sind abstrakte digitale Grafiken und Code-Überlagerungen zu sehen.
Blog
Das Bewusstsein für Cybersicherheit muss sich von bloßer Anwesenheit hin zu echtem Verständnis entwickeln.

Blog anzeigen >
Zwei Fachleute diskutieren vor einem großen digitalen Display über Informationen, umgeben von mehreren Monitoren, auf denen Datenanalysen in einem modernen Kontrollraum angezeigt werden.
Blog
Der Stand der KI in der Cybersicherheit

Blog anzeigen >