Ihre erste Verteidigungslinie in Sachen Cybersicherheit
Ihrem Mitarbeitenden kommt beim Schutz Ihrer Organisation eine wichtige Rolle zu
Da die Bedrohungen für die Cybersicherheit weiter zunehmen, nehmen auch die Angriffe zu, die auf „menschliches Versagen“ zurückzuführen sind. Es gibt einen Grund, warum „Menschen“ an erster Stelle einer nach dem Prinzip „Menschen, Prozesse und Technologie“ konzipierten Sicherheitsstrategie stehen. Wenn Ihre Mitarbeitenden die Cybersicherheit verstehen und wissen, welche Rolle sie dabei spielen, werden sie zu Ihrer ersten Verteidigungslinie, wenn es darum geht, das Unternehmen zu schützen und Risiken zu reduzieren.
Die „Security-first“-Kultur beginnt an der Spitze
Kultur ist kein inspirierendes Wandplakat. Sie zeigt sich darin, wie sich die Teams engagieren und in welchen Verhaltensweisen sie belohnt werden.
Eine Sicherheitskultur beginnt an der Spitze eines Unternehmens, bei der Führungsebene. Sie zeigt sich in dreierlei Hinsicht: Priorisierung, Kommunikation und Führung durch Vorbild.
Eine Kultur, die eine proaktive Verteidigungsstrategie fördert, ermöglicht Mitarbeitenden, Risiken zu erkennen und zu melden. Wir verwenden einen einfachen, aber effektiven Meldemechanismus, um alles Verdächtige zu melden, damit unser Security Incident Response Team (SIRT) es untersuchen kann. Wir ermutigen und unterstützen diejenigen, die monatlich die meisten Sicherheitsvorfälle melden. Wir teilen Vorfälle mit, um eine Gemeinschaft zu schaffen, die sich gleichermaßen für Schutz und Sicherheit einsetzt. Unsere obersten Führungskräfte gehen mit gutem Beispiel voran, indem sie alles Verdächtige melden.
Die Transparenz in der Art und Weise, wie wir Sicherheit kommunizieren und priorisieren, wird von der Führung bei Cloudflare klar zum Ausdruck gebracht. Sie klickten versehentlich auf einen Phishing-Link oder lassen Sie Ihren Laptop ungesichert? Unsere Teams werden ermutigt, sich selbst zu melden, weil sie wissen, dass sie für einen Fehler nicht bestraft werden. Das fördert eine Kultur, in der wir das Richtige tun, um Fehler zu vermeiden.
Eine Kultur des Bewusstseins schaffen
Selbst bei einem Sicherheitsunternehmen wie Cloudflare ist nicht jeder ein Experte für Cybersicherheit. Selbst diejenigen mit umfangreichem Hintergrund im Bereich der Cybersicherheit werden Mühe haben, mit den sich entwickelnden Angriffsvektoren Schritt zu halten.
Indem wir uns darüber austauschen, wie unsere Arbeit Angriffe auf die Cybersicherheit verhindert, bleiben unsere Teams aufmerksam und wachsam. Wenn wir diese Erkenntnisse mit anderen teilen, können wir nicht nur unsere Erfolge feiern, sondern auch aus jedem Vorfall lernen und die täglichen Kämpfe in Lektionen verwandeln, die unsere Schutzmaßnahmen stärken. Diese Praxis fördert eine Kultur des kontinuierlichen Lernens und der umfassenden Vorbereitung, die sicherstellt, dass jedes Teammitglied, vom Neuling bis zum erfahrenen Experten, die dynamische Bedrohungslage versteht.
Kürzlich gab es einen Vorfall, bei dem unsere Mitarbeitenden über private Social-Media-Konten angegriffen wurden. Sie verstanden das Risiko und wussten, wie wichtig es war, unser SIRT-Team zu informieren. Die schnelle Reaktion unserer Mitarbeitenden ermöglichte es uns, den Vorfall mit dem Team zu teilen, um das Bewusstsein zu schärfen, Nachforschungen anzustellen und den Angreifer in Zusammenarbeit mit dem Social Media-Anbieter auszuschalten.
Es gilt zu erkennen, dass jeder und jede eine Rolle hat
Eine starke Sicherheitskultur und ein geschärftes Bewusstsein sind ein guter Anfang. Ebenso wichtig ist es jedoch, dass jedes Mitglied Ihres Unternehmens seine spezifische Rolle bei der Wahrung eines hohen Sicherheitsniveaus versteht.
Beginnen Sie mit der Festlegung klarer, verständlicher Cybersicherheitsrichtlinien. Stellen Sie sicher, dass diese Richtlinien nicht nur theoretisch sind. Sie müssen das „Wie“ und „Warum“ erklären, damit sie umsetzbar sind. Halten Sie diese Richtlinien zugänglich und aktualisieren Sie sie jährlich, damit sie neue Bedrohungen und technologische Veränderungen berücksichtigen und die Pflicht jedes Einzelnen zur Einhaltung dieser Richtlinien stärken.
Geben Sie Ihrer Organisation die nötigen Informationen, um sofort Maßnahmen ergreifen zu können: Wie Sie einen Verstoß gegen Richtlinien melden, Phishing und Social Engineering-Versuche erkennen, mit physischen Sicherheitsverstößen im Büro umgehen oder falsch konfigurierte Systeme erkennen.
Jährliche Schulungen für mehr Bewusstsein in Sachen Cybersicherheit und Datenschutz bieten zwar eine solide Grundlage, aber Sie können darüber hinaus rollenspezifische Sicherheitsschulungen integrieren. Dieser Ansatz integriert Sicherheitsmaßnahmen in jede Facette Ihrer Organisationsprozesse und stellt sicher, dass Sicherheit nicht nur eine Richtlinie, sondern eine Praxis ist, die in ihre alltäglichen Betriebsabläufe eingeflossen ist.
Das Risiko menschlicher Fehler reduzieren
Ein Problem belastet die Sicherheitsteams vieler Unternehmen: die Komplexität.
Je komplexer Ihre Systeme sind, desto wahrscheinlicher ist es, dass ein Fehler auftritt. Fehlkonfigurationen stellen ein erhebliches Risiko dar, das Angreifer ausnutzen können. „Vertrauen, aber verifizieren“ ist ein altbekanntes Sicherheitsklischee, das sich bewährt hat. Ihre Teams müssen unbedingt die Wirksamkeit der Konfigurationen und der Implementierung von Kontrollmechanismen validieren, um sicherzustellen, dass menschliche Fehler keine Sicherheitslücken schafft.
Durch Strategien, die Klicks reduzieren und Infrastruktur als Code (IaC) priorisieren, können Sie nicht nur das Risiko menschlicher Fehler verringern, sondern auch skalieren, sodass sich Ihr Team auf die wichtigsten Aufgaben konzentrieren kann. Wir haben diese Strategie bei Cloudflare genutzt und zeigen Ihnen, wie wir Terraform verwenden, um Cloudflare zu verwalten und die Wartung Ihrer Systeme kontinuierlich zu verbessern und gleichzeitig die Komplexität und das Risiko menschlicher Fehler zu reduzieren.
Die Sicherheitskultur ist Teil Ihrer Verteidigung
Die Stärkung des Bewusstseins für Cybersicherheit ist nicht nur eine Vorsichtsmaßnahme, sondern ein Muss. Indem wir eine Kultur fördern, in der jedes Teammitglied die Cybersicherheitspraktiken kennt und sich aktiv dafür einsetzt, bauen wir nicht nur Barrieren, sondern Firewalls gegen digitale Bedrohungen auf.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Um eine starke Sicherheitskultur aufzubauen, die über die neuesten Bedrohungen informiert ist, holen Sie sich den Bericht zum „Stand der Anwendungssicherheit“.
Authors
Ranee Bray — @raneebray
Senior Cyber Security Strategy & Execution Director, Cloudflare
Jordan Lilly — @jordan-lilly
CSO Security Engagement, Office of CSO, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Die Rolle der Führung bei der Veränderung von Denk- und Verhaltensweisen
Wie Sie das Sicherheitsbewusstsein in Ihrem Unternehmen stärken
Die Vorteile einer geringeren Komplexität Ihres Sicherheitskonzepts