CSO
Alternatives Drucklayout:
› reiner Text
Link: https://www.csoonline.com/de/a/in-5-schritten-zur-sicherheitskultur,3673745

Cybersecurity Champions

In 5 Schritten zur Sicherheitskultur

Datum:26.07.2022
Autor(en):Michael Hill
Lesen Sie, wie Sie eine positive Sicherheitskultur im gesamten Unternehmen etablieren.

Ein Security-Champions-Programm kann dabei helfen, das Sicherheitsbewusstsein im Unternehmen zu stärken. Wenn es richtig gemacht ist.
Foto: LongJon - shutterstock.com

Cybersecurity-Champions-Initiativen sollen das Bewusstsein für Cybersicherheit1 innerhalb eines Unternehmens fördern. Diese Programme kombinieren Weiterbildung mit Peer-to-Peer-Collaboration, um eine positive Security-Kultur zu verankern, die von Verständnis, Unterstützung und Best Practices geprägt ist.

Dabei werden Personen aus unterschiedlichen Fachbereichen zu "Security Champions" ernannt, die als Sicherheitsbeauftragte in ihrem Bereich fungieren und bei der Umsetzung unterstützen. Cybersecurity-Champions-Programme erfreuen sich in vielen Branchen wachsender Beliebtheit. Die Vorteile haben einige Unternehmen dazu bewogen, sie zum integralen Bestandteil Ihrer Security-Awareness-Strategien zu machen.

Sicherheitskultur etablieren: 5 Schritte

Ein Cybersecurity-Champions-Programm auf die Beine zu stellen, das seine Ziele erreicht und Fehlinvestitionen vermeidet, erfordert mehrere Schlüsselelemente. Wir haben mit einigen Security-Experten gesprochen und verraten Ihnen, wie Sie ein solches Programm in fünf Schritten aufstellen - und welche Vorteile das mit sich bringt.

1. Gründliche Planung

Der Schlüssel um ein Cybersecurity-Champions-Programm einzuführen und aufrechtzuerhalten, sei die richtige Planung, meint Dr. Jessica Barker, Mitgründerin des Sicherheitsanbieters Cygenta: "Wir haben mit vielen Organisationen zusammengearbeitet, die auf diese Planung verzichtet haben und direkt mit der Rekrutierung gestartet sind. Nach etwa einem Jahr hat das Programm nicht mehr funktioniert und ist im Sande verlaufen."

Barker und ihre Kollegen haben mehrere Jahre damit verbracht, das Champion Leader Framework2 zu entwickeln und in einen Online-Kurs zu transformieren. Neue Kunden seien oft überrascht, wieviel Vorbereitungsarbeit sie leisten müssten, bevor sie mit der Rekrutierung der Champions beginnen können: "Der Aufbau eines auf das Unternehmen zugeschnittenen Programms und die Grundlagenarbeit in Bezug auf Ziele, Anreize und Rollen ist entscheidend."

2. Support der Führungskräfte

Wie Lena Smart, CISO bei MongoDB und für das dortige Security-Champions-Programm verantwortlich, weiß, hat die Unterstützung durch die Führungsebene erheblichen Einfluss auf den Erfolg eines Security-Champions-Programms. Daher müssten CISOs sicherstellen, dass die Führungskräfte eines Unternehmens den Wert des Programms verstehen und sich aktiv daran beteiligen: "Bei einem kürzlich abgehaltenen All-Hands-Meeting hat der CEO unser Security-Champions-Programm befürwortet und die Mitarbeiter ermutigt, daran teilzunehmen."

Alexander Antukh, Director of Security bei Glovo und Autor des "Security Champions Playbook3", sieht das ähnlich: "Wenn Führungsebene4 und Management den Wert des Programms nicht erkennen, wird es schwierig, Sicherheitsaktivitäten zu priorisieren - selbst für diejenigen, die wirklich gerne einen Beitrag leisten würden. Es gibt verschiedene Möglichkeiten, diese Unterstützung zu erhalten. Doch es geht vor allem darum, das Management über die Problematik aufzuklären und die Vorteile eines solchen Programms aufzuzeigen."

3. Richtig rekrutieren

Bei der Rekrutierung von Sicherheitsbeauftragten sollten Kommunikationsfähigkeiten und Diversity im Vordergrund stehen. Cybersecurity Champions sind mehr Cheerleader als Experten - sie verbreiten Sicherheitsbotschaften auf Teamebene und fungieren als das "Security-Gewissen" ihrer Abteilung, indem sie Augen und Ohren für potenzielle Probleme offen halten. Als solche sollten sie gute Kommunikatoren sein."

Ideal sei es, Champions zu rekrutieren, die im gesamten Unternehmen Einfluss haben, erklärt Barker: "Damit sind nicht nur Personen in höheren Positionen gemeint. Sie werden Influencer in allen möglichen Rollen und Positionen in Ihrer Organisation finden. Diese sind unter Umständen am effektivsten, wenn es darum geht, die Herzen und Köpfe der Kollegen zu erreichen. Personen, die dem Sicherheitsteam viele Fragen stellen, sich aktiv an Schulungen und Aufklärungsmaßnahmen beteiligen und in der Vergangenheit an Vorfällen beteiligt waren, bieten gute Anhaltspunkte für die Rekrutierung der Security Champions."

4. Ausgewogene Anforderungen

Die Tätigkeit als Sicherheitsbeauftragter ist freiwillig, bringt jedoch zusätzliche Verantwortung außerhalb der täglichen Aufgaben mit sich. Security Champions müssen das richtige Gleichgewicht zwischen Engagement und Leistung finden, um die Langlebigkeit des Programms und das Engagement der Mitarbeiter zu gewährleisten. Gleichzeitig müssen sie jedoch auch sicherstellen, dass die Schulungen spezifische und erreichbare Ziele vorgeben: "Bestimmen Sie das Maß an Engagement, das die Teilnehmer benötigen, bevor Sie mit dem Programm beginnen - basierend darauf, wie oft sich die Champions treffen und welche anderen Aufgaben sie haben", empfiehlt Dominic Grunden, CISO der UnionDigital Bank.

Mongo-DB CISO Smart bittet ihre Champions beispielsweise, an monatlichen, sicherheitsbezogenen Meetings teilzunehmen und sich etwa zwei Stunden pro Woche mit dem Thema Security zu befassen: "Dabei konzentrieren sie sich auf relevante Themen und neue Entwicklungen."

5. Anreize schaffen

Security-Champions-Programme müssen ebenso ansprechend und unterhaltsam sein wie informativ, ist Grunden überzeugt: "Jeder möchte das Gefühl haben, Teil einer sinnvollen, positiven und zielgerichteten Sache zu sein, in der Meinungen wichtig sind und geschätzt werden. Vor allem aber sollte diese Kultur Spaß machen, indem man besondere Veranstaltungen, Teambuilding-Events und andere Aktivitäten anbietet, um die Teilnehmer zu motivieren und einzubinden."

Dr. John Blythe, Diplom-Psychologe und Leiter der Cyber Workforce Psychology bei Immersive Labs, stimmt zu: "Bieten Sie Anreize, die mit Ihrer Unternehmenskultur in Einklang stehen. Diese können materiell oder ideel sein. Vor allem sollten Sie aber auch die Bereitschaft mitbringen, den Security Champions zuzuhören und Ihre Richtlinien und Kampagnen auf Grundlage ihres Feedbacks anzupassen. Wenn die Sicherheitsbeauftragten sich wertgeschätzt5 und gehört fühlen, wird Ihr Programm effektiver sein."

Cybersecurity-Champions-Programm: Vorteile

Je nach Größe und Branche können die Vorteile eines gut organisierten Cybersecurity-Champions-Programms unterschiedlich ins Gewicht fallen. Es gibt jedoch auch generelle Vorteile. "Um die Menschen wirklich für Cybersicherheit zu begeistern und ihr Verhalten positiv zu beeinflussen, ist es wichtig, das 'Warum' zu erklären. Wenn es gut gemacht ist, ist ein Cybersecurity-Champions-Programm effektiver als alles andere", meint Barker. "Ein Champions-Programm ermöglicht Ihnen, zu sensibilisieren, so relevant wie möglich zu kommunizieren6 und dafür zu sorgen, dass Vorfälle öfter gemeldet werden. Vor allem ist ein erfolgreiches Champions-Programm aber eine der besten Möglichkeiten, um Ihren Kollegen im gesamten Unternehmen zuzuhören und ihre Wahrnehmungen und Herausforderungen in Bezug auf die Cybersicherheit zu verstehen."

Mongo-DB CISO Smart stimmt zu: "Angesichts des rasanten Wachstums, das wir erleben, betrachten wir Sicherheit als ein Differenzierungsmerkmal. Wir sind davon überzeugt, dass der Aufbau einer starken Kultur, in der mein Team als Partner und Enabler für den Rest des Unternehmens gesehen wird, von größter Bedeutung für unseren Erfolg ist. Unser Programm trägt dazu bei und erzeugt unter den Mitarbeitern ein persönliches Interesse daran, dass das Unternehmen sicher bleibt."

Ein besonders positiver Aspekt des Programms ist für die Managerin, dass sich die Initiative zu einer Art Recruiting-Pipeline für das Sicherheitsteam entwickelt habe: "Wir hatten schon mehrere Mitarbeiter, die von anderen Teams in den Sicherheitsbereich gewechselt sind. Meiner Meinung nach kann es auch zielführender sein, internen Kandidaten Security-Kenntnisse zu vermitteln, als extern Jemanden zu suchen, der alle Voraussetzungen erfüllt7."

Die abteilungsübergreifende Kommunikation und Zusammenarbeit habe sich auch dadurch verbessert, dass andere Teams stärker in die Sicherheitsfunktion eingebunden werden, so die CISO: "Wir nehmen an Produktplanungsbesprechungen mit unseren Entwicklungsteams teil, um beispielsweise Sicherheitsaspekte besser zu verstehen und Feedback geben zu können."

Ein solides Security-Champions-Programm trägt auch dazu bei, die Cybersicherheit für fachfremde Mitarbeiter zu entmystifizieren und die Themen in andere Fachbereiche zu tragen, wie Dr. Blythe erklärt: "Die Leute denken oft, Cybersicherheit sei ein unergründliches, zutiefst technisches Konzept. Aber mit den Sicherheitsbeauftragten wird ein offener Dialog geschaffen, in dessen Rahmen Sicherheitsprobleme und Bedrohungen so formuliert werden, dass sie verständlich werden. Ingenieure müssen wissen, wie man sicheren Code schreibt, Führungsteams müssen wissen, wie man in einer Cyberkrise reagiert und IT-Teams müssen wissen, wie man die Cloud-Infrastruktur absichert."

Einmal geschult, könnten Cybersecurity Champions auch Schwachstellen erkennen und beheben, bevor sie sich ausbreiten und problematisch werden, ergänzt Grunden: "Das kann Unternehmen viel Zeit und Geld sparen." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.8

Links im Artikel:

1 https://www.computerwoche.de/a/security-awareness-richtig-planen-und-vermitteln,3546676
2 https://academy.cygenta.co.uk/p/champions-leader
3 https://github.com/c0rdis/security-champions-playbook
4 https://www.csoonline.com/de/a/13-merkmale-sicherheitsbewusster-vorstaende,3671988
5 https://www.computerwoche.de/a/wertschaetzung-ist-fachkraeften-wichtiger-als-statussymbole,3545431
6 https://www.computerwoche.de/a/fuehren-heisst-kommunikation-auf-augenhoehe,3109805
7 https://www.computerwoche.de/a/7-wege-zur-it-fachkraft,3551409
8 http://www.csoonline.com/article/3648338/5-steps-to-run-a-successful-cybersecurity-champions-program.html

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.