Cybersecurity Champions
In 5 Schritten zur Sicherheitskultur
Foto: LongJon - shutterstock.com
Cybersecurity-Champions-Initiativen sollen das Bewusstsein für Cybersicherheit innerhalb eines Unternehmens fördern. Diese Programme kombinieren Weiterbildung mit Peer-to-Peer-Collaboration, um eine positive Security-Kultur zu verankern, die von Verständnis, Unterstützung und Best Practices geprägt ist.
Dabei werden Personen aus unterschiedlichen Fachbereichen zu "Security Champions" ernannt, die als Sicherheitsbeauftragte in ihrem Bereich fungieren und bei der Umsetzung unterstützen. Cybersecurity-Champions-Programme erfreuen sich in vielen Branchen wachsender Beliebtheit. Die Vorteile haben einige Unternehmen dazu bewogen, sie zum integralen Bestandteil Ihrer Security-Awareness-Strategien zu machen.
Sicherheitskultur etablieren: 5 Schritte
Ein Cybersecurity-Champions-Programm auf die Beine zu stellen, das seine Ziele erreicht und Fehlinvestitionen vermeidet, erfordert mehrere Schlüsselelemente. Wir haben mit einigen Security-Experten gesprochen und verraten Ihnen, wie Sie ein solches Programm in fünf Schritten aufstellen - und welche Vorteile das mit sich bringt.
1. Gründliche Planung
Der Schlüssel um ein Cybersecurity-Champions-Programm einzuführen und aufrechtzuerhalten, sei die richtige Planung, meint Dr. Jessica Barker, Mitgründerin des Sicherheitsanbieters Cygenta: "Wir haben mit vielen Organisationen zusammengearbeitet, die auf diese Planung verzichtet haben und direkt mit der Rekrutierung gestartet sind. Nach etwa einem Jahr hat das Programm nicht mehr funktioniert und ist im Sande verlaufen."
Barker und ihre Kollegen haben mehrere Jahre damit verbracht, das Champion Leader Framework zu entwickeln und in einen Online-Kurs zu transformieren. Neue Kunden seien oft überrascht, wieviel Vorbereitungsarbeit sie leisten müssten, bevor sie mit der Rekrutierung der Champions beginnen können: "Der Aufbau eines auf das Unternehmen zugeschnittenen Programms und die Grundlagenarbeit in Bezug auf Ziele, Anreize und Rollen ist entscheidend."
2. Support der Führungskräfte
Wie Lena Smart, CISO bei MongoDB und für das dortige Security-Champions-Programm verantwortlich, weiß, hat die Unterstützung durch die Führungsebene erheblichen Einfluss auf den Erfolg eines Security-Champions-Programms. Daher müssten CISOs sicherstellen, dass die Führungskräfte eines Unternehmens den Wert des Programms verstehen und sich aktiv daran beteiligen: "Bei einem kürzlich abgehaltenen All-Hands-Meeting hat der CEO unser Security-Champions-Programm befürwortet und die Mitarbeiter ermutigt, daran teilzunehmen."
Alexander Antukh, Director of Security bei Glovo und Autor des "Security Champions Playbook", sieht das ähnlich: "Wenn Führungsebene und Management den Wert des Programms nicht erkennen, wird es schwierig, Sicherheitsaktivitäten zu priorisieren - selbst für diejenigen, die wirklich gerne einen Beitrag leisten würden. Es gibt verschiedene Möglichkeiten, diese Unterstützung zu erhalten. Doch es geht vor allem darum, das Management über die Problematik aufzuklären und die Vorteile eines solchen Programms aufzuzeigen."
3. Richtig rekrutieren
Bei der Rekrutierung von Sicherheitsbeauftragten sollten Kommunikationsfähigkeiten und Diversity im Vordergrund stehen. Cybersecurity Champions sind mehr Cheerleader als Experten - sie verbreiten Sicherheitsbotschaften auf Teamebene und fungieren als das "Security-Gewissen" ihrer Abteilung, indem sie Augen und Ohren für potenzielle Probleme offen halten. Als solche sollten sie gute Kommunikatoren sein."
Ideal sei es, Champions zu rekrutieren, die im gesamten Unternehmen Einfluss haben, erklärt Barker: "Damit sind nicht nur Personen in höheren Positionen gemeint. Sie werden Influencer in allen möglichen Rollen und Positionen in Ihrer Organisation finden. Diese sind unter Umständen am effektivsten, wenn es darum geht, die Herzen und Köpfe der Kollegen zu erreichen. Personen, die dem Sicherheitsteam viele Fragen stellen, sich aktiv an Schulungen und Aufklärungsmaßnahmen beteiligen und in der Vergangenheit an Vorfällen beteiligt waren, bieten gute Anhaltspunkte für die Rekrutierung der Security Champions."
4. Ausgewogene Anforderungen
Die Tätigkeit als Sicherheitsbeauftragter ist freiwillig, bringt jedoch zusätzliche Verantwortung außerhalb der täglichen Aufgaben mit sich. Security Champions müssen das richtige Gleichgewicht zwischen Engagement und Leistung finden, um die Langlebigkeit des Programms und das Engagement der Mitarbeiter zu gewährleisten. Gleichzeitig müssen sie jedoch auch sicherstellen, dass die Schulungen spezifische und erreichbare Ziele vorgeben: "Bestimmen Sie das Maß an Engagement, das die Teilnehmer benötigen, bevor Sie mit dem Programm beginnen - basierend darauf, wie oft sich die Champions treffen und welche anderen Aufgaben sie haben", empfiehlt Dominic Grunden, CISO der UnionDigital Bank.
Mongo-DB CISO Smart bittet ihre Champions beispielsweise, an monatlichen, sicherheitsbezogenen Meetings teilzunehmen und sich etwa zwei Stunden pro Woche mit dem Thema Security zu befassen: "Dabei konzentrieren sie sich auf relevante Themen und neue Entwicklungen."
5. Anreize schaffen
Security-Champions-Programme müssen ebenso ansprechend und unterhaltsam sein wie informativ, ist Grunden überzeugt: "Jeder möchte das Gefühl haben, Teil einer sinnvollen, positiven und zielgerichteten Sache zu sein, in der Meinungen wichtig sind und geschätzt werden. Vor allem aber sollte diese Kultur Spaß machen, indem man besondere Veranstaltungen, Teambuilding-Events und andere Aktivitäten anbietet, um die Teilnehmer zu motivieren und einzubinden."
Dr. John Blythe, Diplom-Psychologe und Leiter der Cyber Workforce Psychology bei Immersive Labs, stimmt zu: "Bieten Sie Anreize, die mit Ihrer Unternehmenskultur in Einklang stehen. Diese können materiell oder ideel sein. Vor allem sollten Sie aber auch die Bereitschaft mitbringen, den Security Champions zuzuhören und Ihre Richtlinien und Kampagnen auf Grundlage ihres Feedbacks anzupassen. Wenn die Sicherheitsbeauftragten sich wertgeschätzt und gehört fühlen, wird Ihr Programm effektiver sein."
Cybersecurity-Champions-Programm: Vorteile
Je nach Größe und Branche können die Vorteile eines gut organisierten Cybersecurity-Champions-Programms unterschiedlich ins Gewicht fallen. Es gibt jedoch auch generelle Vorteile. "Um die Menschen wirklich für Cybersicherheit zu begeistern und ihr Verhalten positiv zu beeinflussen, ist es wichtig, das 'Warum' zu erklären. Wenn es gut gemacht ist, ist ein Cybersecurity-Champions-Programm effektiver als alles andere", meint Barker. "Ein Champions-Programm ermöglicht Ihnen, zu sensibilisieren, so relevant wie möglich zu kommunizieren und dafür zu sorgen, dass Vorfälle öfter gemeldet werden. Vor allem ist ein erfolgreiches Champions-Programm aber eine der besten Möglichkeiten, um Ihren Kollegen im gesamten Unternehmen zuzuhören und ihre Wahrnehmungen und Herausforderungen in Bezug auf die Cybersicherheit zu verstehen."
Mongo-DB CISO Smart stimmt zu: "Angesichts des rasanten Wachstums, das wir erleben, betrachten wir Sicherheit als ein Differenzierungsmerkmal. Wir sind davon überzeugt, dass der Aufbau einer starken Kultur, in der mein Team als Partner und Enabler für den Rest des Unternehmens gesehen wird, von größter Bedeutung für unseren Erfolg ist. Unser Programm trägt dazu bei und erzeugt unter den Mitarbeitern ein persönliches Interesse daran, dass das Unternehmen sicher bleibt."
Ein besonders positiver Aspekt des Programms ist für die Managerin, dass sich die Initiative zu einer Art Recruiting-Pipeline für das Sicherheitsteam entwickelt habe: "Wir hatten schon mehrere Mitarbeiter, die von anderen Teams in den Sicherheitsbereich gewechselt sind. Meiner Meinung nach kann es auch zielführender sein, internen Kandidaten Security-Kenntnisse zu vermitteln, als extern Jemanden zu suchen, der alle Voraussetzungen erfüllt."
Die abteilungsübergreifende Kommunikation und Zusammenarbeit habe sich auch dadurch verbessert, dass andere Teams stärker in die Sicherheitsfunktion eingebunden werden, so die CISO: "Wir nehmen an Produktplanungsbesprechungen mit unseren Entwicklungsteams teil, um beispielsweise Sicherheitsaspekte besser zu verstehen und Feedback geben zu können."
Ein solides Security-Champions-Programm trägt auch dazu bei, die Cybersicherheit für fachfremde Mitarbeiter zu entmystifizieren und die Themen in andere Fachbereiche zu tragen, wie Dr. Blythe erklärt: "Die Leute denken oft, Cybersicherheit sei ein unergründliches, zutiefst technisches Konzept. Aber mit den Sicherheitsbeauftragten wird ein offener Dialog geschaffen, in dessen Rahmen Sicherheitsprobleme und Bedrohungen so formuliert werden, dass sie verständlich werden. Ingenieure müssen wissen, wie man sicheren Code schreibt, Führungsteams müssen wissen, wie man in einer Cyberkrise reagiert und IT-Teams müssen wissen, wie man die Cloud-Infrastruktur absichert."
Einmal geschult, könnten Cybersecurity Champions auch Schwachstellen erkennen und beheben, bevor sie sich ausbreiten und problematisch werden, ergänzt Grunden: "Das kann Unternehmen viel Zeit und Geld sparen." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.