Tipps für den Aufbau einer umfassenden IT-Sicherheitsstruktur
In Zeiten von Bring-your-own-Device und Internet-of-Things stehen Unternehmen täglich vor der Herausforderung, sich vor Cyberattacken zu schützen – ohne ihre Mitarbeiter in der täglichen Arbeit allzu sehr einzuschränken. Insbesondere die damit verbundenen Anwendungen stellen dabei nicht selten ein großes Sicherheitsrisiko dar.
- Tipps für den Aufbau einer umfassenden IT-Sicherheitsstruktur
- Die Don’ts
Das Internet-of-Things (IoT) gewinnt in unserer Gesellschaft immer mehr an Bedeutung. Aktuellen Untersuchungen zufolge sind mittlerweile rund 4,9 Milliarden angeschlossene Geräte im Einsatz. Bis 2009 wird diese Zahl auf geschätzte 25 Milliarden steigen. Die Sicherheit im IoT ist allerdings ein Problem. Gerade in Zeiten von Bring-your-own-Device (BYOD) und IoT stellt es für Unternehmen eine immense Herausforderung dar, sich vor Übergriffen seitens Cyberkrimineller zu schützen. Wie aber sollte ein sicherheitsorientierter Arbeitsplatz aussehen? Wie lässt es sich an einem solchen Arbeitsplatz arbeiten?
Arved Graf von Stackelberg, Director Central-Europe bei Veracode beschreibt die Do’s and Don‘ts für ein sicherheitsbewusstes Arbeiten sowie Punkte, die unternehmensintern verbessert werden könnten:
Die Do’s
Sicherheitsbewusste Unternehmen…
- …verstehen den Wert von Coaching und Feedback – Auch wenn ein Team komplett hinter Änderungen oder gar einer komplett neu implementierten Technologie steht, können Fehler passieren.
Tipp: Bekämpfen lassen sich diese am besten mit effektivem Coaching. Was effektiv heißt, kommt dabei weitgehend auf die Situation und die einzelnen Mitarbeiter an. Die meisten Entwickler und Ingenieure schätzen direktes Feedback: Es macht also durchaus Sinn ihnen zu sagen, was falsch gelaufen ist und wie das Problem behoben werden kann, ohne dabei zu sehr auszuholen. Man sollte konstruktiv sein und das Gespräch als Möglichkeit zum Lernen betrachten. So haben alle Beteiligten etwas davon.“
- …und stellen sicher, dass die Angestellten das auch tun – Jeder geht mit Kritik anders um. Software-Entwicklung ist kreative Arbeit – zwar nicht vergleichbar mit Malerei oder Bildhauerei, aber dennoch kreativ. Die Tatsache, dass also einige Mitarbeiter persönlich involviert sind, kann ein effektives Coaching heikel gestalten kann, wenn man nicht vorsichtig vorgeht.
Tipp: Es sollte klar sein, dass Kritik keinen persönlichen Angriff darstellt. Deshalb kann es sinnvoll sein, Mitarbeiter zu bitten, ausgesprochene Kritik zu wiederholen. Außerdem wird Kritik besser aufgenommen, wenn sie stückchenweise serviert wird. So haben Angestellte Zeit das Gehörte zu verarbeiten und können einen Dialog starten.
- …setzen den Fokus bewusst auf Sicherheit – Anwendungssicherheit sollte nicht nur ein beliebiger Punkt auf der Liste sein, der nach und nach abgehakt wird. Es ist ein Konzept, das in jeder Zeile des Codes berücksichtigt werden und auch bei jeder Entscheidung eine Rolle spielen muss.
Tipp: Eine Sicherheitsstruktur aufzubauen bedeutet, das Thema Sicherheit als oberste Priorität zu behandeln; die so aufgebaute Struktur aufrechtzuerhalten heißt, diesen Fokus auf lange Sicht beizubehalten. Wie bei jeder erlernten Fähigkeit ist der beste Weg zur Festigung die Praxis. Mit der Zeit wird das Thema Sicherheit automatisch in Gespräche und Entscheidungsprozesse einfließen. Wenn das der Fall ist, ist ein Unternehmen auf dem richtigen Weg.
