Security Culture
Wie IT-Sicherheit Teil der Organisationskultur wird
Fortsetzung des Artikels von Teil 1
Erweiterung der Organisationskultur um den Faktor Sicherheit
Es gilt, die strategischen Ziele einer Organisation inklusive der ihnen zugrunde liegenden taktischen Maßnahmen als Basis zu nehmen und diese in Gründe für die Einführung und Stärkung von Sicherheitsmaßnahmen zu übersetzen. Wenn eine Organisation beispielsweise das Vertrauen der Kunden als grundlegenden Unternehmenswert schätzt, dann kann man eine Reihe von Sicherheitsmaßnahmen implementieren, die unmittelbar zur Steigerung dieses Unternehmenswerts beitragen. Eine treffende Analogie wäre es, die Organisationskultur als das gesamte Buch zu sehen, und die Sicherheitskultur als eines der Kapitel in diesem Buch. Die übergreifende Handlung der Geschichte im Buch dient in dieser Analogie als Leitfaden für das Kapitel „Security Culture“.
Bei der Eingliederung der Security Culture in die Unternehmenskultur geht es hauptsächlich darum, in beiden die gleiche Art von Sprache zu verwenden und sicherzustellen, dass es sich um eine einheitliche Botschaft handelt, die von allen Personen beziehungsweise Abteilungen, die dafür eintreten, geteilt wird. Schließlich ist es wichtig, konkrete Ressourcen und Verantwortlichkeiten zuzuweisen, um die Planung zu verwirklichen.
Erfolg durch langfristige Planung und messbare Ergebnisse
Um Security Culture im Unternehmen dauerhaft zu etablieren, muss natürlich auch dafür gesorgt werden, dass die aufgestellten Regeln und Grundsätze von der gesamten Belegschaft eingehalten werden. Dafür sollte Verantwortung an bestimmte Mitarbeiter übertragen werden. Es liegt dabei an der Geschäftsführung, die richtigen Ressourcen und ausreichend Unterstützung bereitzustellen. Die Kommunikation der Ziele und Gründe ebenso wie die Art und Weise, wie sich die Mitarbeiter verhalten sollen, ist hier entscheidend. Schließlich muss sichergestellt werden, dass die Erwartungen der Organisation und die des Einzelnen klar definiert sind.
Um dann im finalen Schritt die Ergebnisse von Security Culture messbar zu machen, empfiehlt es sich, Umfragen und Tests für Mitarbeiter zu nutzen, die in der Regel vom Security Awareness-Anbieter bereitgestellt werden. So wird es möglich, konkrete Daten zu verwenden, um aufzuzeigen, wie hoch der Reifegrad des Unternehmens ist und wie sehr sich die Mitarbeiter eingebunden fühlen.
Eine Organisationskultur kann eine schwer fassbare Sache sein. Sie mit Daten zu untermauern, macht sie zu etwas Greifbarem. Etwas, über das man tatsächlich diskutieren kann, basierend auf Daten, zu denen jeder Zugang hat. Das nimmt Emotionen und Vermutungen aus der Gleichung heraus. Dadurch wird Sicherheit zu etwas, bei dem alle Mitarbeiter den Geschäftsnutzen sehen. Auf diese Art und Weise können Tools wie Security Awareness Trainings eingeführt werden, um die Kultur noch mehr zu stärken und letztendlich zu einer Verbesserung der Verteidigung gegen Cyberattacken und -bedrohungen zu sorgen.
- Wie IT-Sicherheit Teil der Organisationskultur wird
- Erweiterung der Organisationskultur um den Faktor Sicherheit
Lesen Sie mehr zum Thema
