Die Rolle der Schulung von Führungskräften beim Aufbau einer Cybersecurity-Kultur
Wichtige Punkte
- Eine Umfrage des Wall Street Journal ergab, dass Unternehmen, die ihre Führungskräfte in Sachen Cybersicherheit schulen, mit größerer Wahrscheinlichkeit auch andere wichtige Schutzmaßnahmen für die Cybersicherheit eingeführt haben.
- Schulungen zum Sicherheitsbewusstsein von Führungskräften können dazu beitragen, dass auch nicht-technische Führungskräfte erkennen, dass Cybersicherheit eine geschäftliche Notwendigkeit ist, und dass sie verstehen, wo Mittel eingesetzt werden sollten.
- Unternehmensleiter, die ein besseres Verständnis für Cybersicherheit haben, können dazu beitragen, eine stärkere Cybersicherheitskultur im gesamten Unternehmen zu etablieren.
Kann die Ausweitung von Sicherheitsschulungen auf Führungskräfte in Unternehmen dazu beitragen, eine Kultur der Cybersicherheit aufzubauen und die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen? Eine aktuelle Umfrage des Wall Street Journal deutet darauf hin, dass dies der Fall sein könnte. Die Umfrage ergab, dass die Durchführung von Cybersicherheitsschulungen für Führungskräfte mit anderen Maßnahmen zur Vorbereitung des Unternehmens auf Cyberrisiken korreliert. [1] So haben Unternehmen, die maßgeschneiderte Schulungen für Führungskräfte durchgeführt haben, mit höherer Wahrscheinlichkeit kritische Daten identifiziert und geschützt (84 % gegenüber 72 % im Durchschnitt) und verfügen über einen Plan zur Reaktion auf Vorfälle (84 % gegenüber 70 %).2
Da die Führungskräfte des Unternehmens den Ton für die gesamte Organisation angeben, kann eine Schulung der Top-Führungskräfte nicht nur zu einem besseren Verständnis der Cybersicherheit beitragen, sondern auch dabei helfen, eine "sicherheitsorientierte" Denkweise im gesamten Unternehmen zu etablieren. [2] "Der Aufbau einer Cybersicherheitskultur erfordert eine Veränderung der Arbeitsweise aller Mitarbeiter, der Führungsqualitäten, der Ausführung von Prozessen und des Umgangs mit Problemen", heißt es in einem Forschungspapier des MIT Sloan. "Das Herzstück einer Kultur der Cybersicherheit besteht darin, jeden Mitarbeiter dazu zu bringen, seine täglichen Aktivitäten so auszuführen, dass das Unternehmen so sicher wie möglich ist." [3]
Cybersicherheit als geschäftlicher Imperativ
Trotz der Tatsache, dass die von Cyber-Bedrohungen ausgehenden Risiken inzwischen viel besser erkannt werden, wird Cybersicherheit immer noch häufig als technisches Problem betrachtet, für das allein das Technologie-Team des Unternehmens verantwortlich ist, sagt Keri Pearlson, Executive Director des Cybersicherheitsprogramms am MIT Sloan. In Wirklichkeit ist es ein geschäftliches Problem - und eine geschäftliche Notwendigkeit, sagt sie. "Man muss es als ein Problem des Risikomanagements, der Finanzen, der Strategie, der Prioritätensetzung und des Ressourcenmanagements sehen. Das ist eine Diskussion auf Führungsebene."
"Manche Menschen glauben, dass die Technologie ihnen Sicherheit bietet: Jemand wird uns sagen, was wir herunterladen dürfen". Das ist nicht gut genug", sagt Pearlson. "Für die Sicherheit ist jeder verantwortlich. Aber wie macht man sie zu jedermanns Verantwortung? That's the question."
Wie die Cybersicherheitsexperten Thomas Parenty und Jack Domet anmerken, haben CEOs auch ein persönliches Interesse an der Cybersicherheit, da sie oft für größere Datenschutzverletzungen oder Ransomware-Vorfälle verantwortlich gemacht werden. [4] Die Autoren argumentieren, dass Führungskräfte zwar keine Sicherheitsexperten werden müssen, aber dennoch Kenntnisse über die größten Bedrohungen für das Unternehmen, die Abwehrmechanismen des Unternehmens und die Reaktion auf Angriffe entwickeln sollten.
Die Verbesserung des Verständnisses der Führungskräfte für Cybersicherheit kann ihnen auch helfen zu verstehen, wo sie Mittel bereitstellen müssen. "Der CEO muss nicht wissen, wie die Firewalls funktionieren oder dass Blockchain ihn sicherer macht. Der CEO muss wissen, wie sicher wir sind, wie wir sicherstellen, dass wir sicher sind, wie hoch unser Risiko im Moment ist und wie wir dieses Risiko mindern können", sagt Pearlson vom MIT Sloan.
Praktische Übungen für Executives
Michael Coden, Leiter der Technologiepraxis beim Beratungsunternehmen BCG Platinion, ist der Meinung, dass Führungskräfte lernen sollten, welche Verhaltensweisen zu Sicherheitsverletzungen führen - einschließlich der Tatsache, dass die meisten erfolgreichen Cyberangriffe durch menschliche Fehler verursacht werden, wie z. B. das Klicken auf einen Link in einer Phishing-E-Mail.
Er schlägt außerdem vor, dass Führungskräfte Fragen dazu stellen sollten, welche Daten für das Unternehmen am wichtigsten sind und wer Zugang zu ihnen hat.
"Führungskräfte sollten die Privilegien ihrer Mitarbeiter sorgfältig verwalten", sagt Coden. "Brauchen sie wirklich Zugang zu diesen Daten? Auf welche Daten müssen sie zugreifen?"
Coden sagt, dass Table-Top-Übungen, bei denen Führungskräfte in Teams an Lösungen für reale Cyber-Bedrohungen arbeiten, sehr hilfreich sind. Schulungen für Führungskräfte zu den wichtigsten Anwendungen und Technologien des Unternehmens können auch dazu beitragen, dass die Führungskräfte besser verstehen, was die Mitarbeiter brauchen, um ihre Arbeit sicher zu erledigen. Wenn die Führungskräfte beispielsweise erkennen, dass die vom Unternehmen genehmigten Methoden zur Dateiübertragung umständlich sind, verstehen sie vielleicht auch, warum die Mitarbeiter diese Methoden nicht nutzen - und dass das Unternehmen eine bessere Lösung braucht.
Steigerung des Sicherheitsbewusstseins in der gesamten Organisation
Natürlich gehört zur Schaffung einer starken Kultur der Cybersicherheit auch die Schulung der gesamten Belegschaft, um ihr Sicherheitsbewusstsein zu erhöhen und ihr Verhalten zu ändern. "Die Mitarbeiter müssen wissen, dass sie, wenn sie etwas Seltsames sehen, dem nachgehen müssen. Eine Sicherheitsverletzung kann etwas so Harmloses wie ein Anruf oder eine SMS sein, in der Sie aufgefordert werden, Geschenkkarten zu verschicken", sagt Pearlson.
Sie schlägt vor, dass Unternehmen Kommunikations- und Social-Media-Kampagnen starten, um die Botschaft an die Mitarbeiter weiterzugeben. "Man muss zeigen, warum Cybersicherheit wichtig ist, damit jemand sie zu schätzen weiß", fügt sie hinzu. "Sie wollen, dass jeder in Ihrem Unternehmen ein Sicherheitsbotschafter ist... wenn Sie etwas sehen, sagen Sie etwas und tun Sie etwas".
Bewährte Praktiken für den Cyber-versierten CEO
Experten empfehlen eine Reihe von Best Practices für Führungskräfte, die sich der Cybersicherheit bewusst sind: [5] [6]
- Um auf Cyberangriffe vorbereitet zu sein, sind Konzentration und Konsequenz erforderlich. Führen Sie eine Szenarienplanung, Probeübungen und Table-Top-Übungen durch und erstellen Sie Protokolle für den Umgang mit Krisen.
- Stellen Sie sicher, dass technische Reaktionen und entsprechend geschulte Teams vorhanden sind, um auf einen Angriff zu reagieren. Stellen Sie ein funktionsübergreifendes Reaktionsteam zusammen, das sich aus leitenden Angestellten, IT-Mitarbeitern, Cybersicherheitsspezialisten, Mitgliedern des Kommunikationsteams und sogar Strafverfolgungsbehörden zusammensetzt.
- Wenn eine Sicherheitslücke auftritt, sollten Sie sich schnell ein Bild davon machen, wie das System funktioniert hat. Machen Sie sich ein Bild davon, wie frühere Angriffe funktionierten und wie das Unternehmen damals reagierte. Verfolgen Sie, was funktioniert hat und was nicht und warum.
- Identifizierung der verschiedenen Arten von Angriffen und des vorherigen Schadens. Ermittlung von Mustern, gemeinsamen Themen und Szenarien für Cyberangriffe.
- Entwickeln Sie einen stressgetesteten Geschäftskontinuitätsplan für den Fall eines lähmenden Cyberangriffs, der wichtige Systeme beschädigt.
- Messen Sie die finanziellen und rufschädigenden Auswirkungen von Cyberangriffen auf das Unternehmen. Verfolgen Sie die rechtlichen Auswirkungen und die regulatorischen Verpflichtungen des Unternehmens.
Die Quintessenz
Die Schaffung einer starken Cybersicherheitskultur durch Techniken wie Sensibilisierungsschulungen ist entscheidend für den Aufbau von Widerstandsfähigkeit im Cyberspace. Die Aufklärung von Führungskräften über Cybersicherheitsfragen kann dazu beitragen, diese Kultur im gesamten Unternehmen zu verankern.
[1] " Welche Branchen sind nicht auf einen Cyberangriff vorbereitet ?", WSJ Pro Research
[2] " The Cyber Resilient Enterprise: Vier Fragen, die sich jeder CEO stellen muss, um ein cyberresistentes Unternehmen aufzubauen ," Accenture
[3] " Cybersicherheit am MIT Sloan: Framework for Building a Culture of Cybersecurity ," MIT Sloan
[4] " Die Rolle des CEO bei der Verhinderung einer Cyber-Krise ," Chief Executive
[5] " Die 5 goldenen Regeln eines CEO für den Umgang mit einer Cyber-Sicherheitskrise ," Security Roundtable
[6] " Die Rolle des CEO bei der Verhinderung einer Cyber-Krise ," Chief Executive
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!