Security Culture
Wie IT-Sicherheit Teil der Organisationskultur wird
Wenn es um die Sicherung von Netzwerken und Daten in Organisationen geht, wird oft in IT-Systeme und -Infrastruktur investiert. Das ist zwar grundsätzlich nicht falsch, doch wird bei dieser Narrative einer der wichtigsten Faktoren unterschlagen: der Faktor Mensch.
Nach wie vor ist der Mitarbeiter die letzte und wohl wichtigste Verteidigungslinie eines Unternehmens gegen Bedrohungen aus dem Cyberraum – vor allem gegen Phishing-Angriffe, die eine der größten Gefahren für die IT von Unternehmen darstellen. Der passende Ansatz für den Schutz sollte also auch das Verhalten der Mitarbeiter miteinbeziehen. Das funktioniert auf Mikroebene durch Schulungen des Sicherheitsbewusstseins. Damit der Ansatz jedoch langfristig Wirkung zeigen kann, muss das Bewusstsein für Sicherheit Teil der Kultur einer Organisation werden; es sollte eine so genannte „Security Culture“ etabliert werden.
Was ist Security Culture?
Um zu verstehen, wie Security Culture zur Wertschöpfung in einer Organisation beitragen kann, gilt es zunächst den Begriff selbst zu erklären. Während das Konzept der Sicherheitskultur in allen Unternehmen (mehr oder weniger) Anwendung findet, ist der Name dieser Disziplin noch nicht überall bekannt. Der Begriff „Security Culture“ umfasst allgemein die Ideen, Bräuche und sozialen Verhaltensweisen, die sich auf die Sicherheit einer Organisation auswirken. Ganz offensichtlich spielen hier also viele Faktoren eine Rolle.
Es ist überaus wichtig, sich im Klaren darüber zu sein, dass Security Culture nicht nur ein Thema für die IT-Abteilung einer Organisation ist. Ganz im Gegenteil: Jeder Mitarbeiter, vom Praktikanten bis hin zur Geschäftsführung muss in die Sicherheitskultur miteingebunden werden. Nur wenn die sicherheitsrelevanten Praktiken und Gewohnheiten von der gesamten Belegschaft akzeptiert und befolgt werden, kann sich daraus eine gesunde und effektive Sicherheitskultur entwickeln.
Implementieren von Security Culture
Der Schlüssel zum Erfolg ist es, eine Sicherheitskultur zu schaffen, die das gesamte Unternehmen umfasst. Security Culture muss Teil der übergeordneten Firmenkultur werden, die in jedem Unternehmen bereits vorhanden ist. Um das zu bewerkstelligen, muss vor allem die Vorstellung überwunden werden, dass IT-Sicherheit etwas ist, um das sich nur die IT-Abteilung kümmern muss. Diese Unterscheidung ist kritisch, denn nur so wird das Konzept für Mitarbeiter zugänglich und zu einer Angelegenheit, die jeden im Unternehmen betrifft, von jedem beeinflusst werden kann und von oben nach unten von mehreren Abteilungen (IT, Personalabteilung, etc.) durchgesetzt und von der Chefetage gefördert wird.
Wie der Name bereits verrät, ist Security Culture ein kulturelles Thema. Daher sollte bei der Vermittlung die Wahl der Sprache anders und weniger technisch ausfallen, als es in der Cybersicherheit normalerweise gehandhabt wird. Man muss auf die Vorteile für die gesamte Organisation (und die Mitarbeiter) hinweisen, und das in einer Sprache, die jeder versteht. Das heißt konkret: Anstatt über das Bekämpfen von Ransomware zu sprechen, spricht man über die Schaffung einer angenehmen und sicheren Arbeitsumgebung, die die Mitarbeiterbindung fördert. Durch diese Art der Informationsvermittlung ist es für den Einzelnen besser ersichtlich, welchen Effekt eine solche Förderung von Security Awareness haben kann. Dieses Verständnis geht einher mit besserer Motivation und Mitarbeiterbeteiligung, besonders wenn man es mit althergebrachten Ansätzen vergleicht, wie zum Beispiel dem Absolvieren einzelner, teils wenig sinnvoller Seminare, die die interne IT-Abteilung (zumeist ohne Erläuterung) anordnet, mit der Begründung es sei „gut für das Unternehmen“.
- Wie IT-Sicherheit Teil der Organisationskultur wird
- Erweiterung der Organisationskultur um den Faktor Sicherheit
Lesen Sie mehr zum Thema
