So baut Salesforce ein Programm zur Förderung und Messung des Sicherheitsbewusstseins auf
Wenn es um die Absicherung eines Unternehmens gegen Cyberkriminalität geht, denken Sie wahrscheinlich zuerst an Softwarelösungen und technische Abteilungen. Es mag Sie überraschen, zu erfahren, dass die überwiegende Mehrzahl – etwa 82 % – der Verstöße gegen die Cybersicherheit auf menschliches Versagen zurückzuführen ist. Tatsächlich sind Mitarbeiter oft der Hauptangriffsvektor für Cyberkriminelle, da sie über einen unterschiedlichen Wissensstand beim Thema Sicherheit verfügen, die menschliche Tendenz haben, bestimmten einfachen Anfragen zu vertrauen, und soziale Verhaltensweisen besitzen, die Angreifer nur allzu gut kennen.
Aus diesem Grund ist der Aufbau eines robusten Programms zur Förderung des Sicherheitsbewusstseins von entscheidender Bedeutung, um den Risikofaktor "Mensch" zu steuern und eine starke Sicherheitskultur in Ihrer Organisation zu schaffen. Doch was genau macht ein Programm zum Thema Sicherheitsbewusstsein aus und wie können Organisationen ihren Erfolg messen?
Bei Salesforce verwenden wir das SANS Security Awareness Maturity Model als Benchmarking-Tool, um den Reifegrad unseres Programm für Sicherheitsbewusstsein zu ermitteln. Und wir bemühen uns kontinuierlich darum, die Benchmarks "Kulturwandel" und "Kennzahlen-Framework" zu erreichen und aufrechtzuerhalten. Das SANS-Reifegradmodell ist zwar eine gute Ausgangsbasis, doch das Salesforce Security Awareness-Team hat noch eine Reihe zusätzlicher programmatischer Ziele.
Vier Ziele
An erster Stelle hat es sich Salesforce zum Ziel gesetzt, die sicherste und konformste Unternehmens-Cloud auf dem Markt bereitzustellen. Die Einhaltung von Vorschriften (Compliance) ist für den Aufbau einer Kultur des Vertrauens und der Sicherheit sowie für unsere Fähigkeit, rechtlich als Unternehmen tätig zu sein, von zentraler Bedeutung. Dazu gehört die Erfüllung von Anforderungen im Zusammenhang mit Standards wie dem Payment Card Industry Data Security Standard (PCI), dem Federal Risk and Authorization Management Program (FedRAMP) und dem Sarbanes-Oxley Act (SOX).
Unser nächstes Ziel ist die Behandlung von Problemen im Zusammenhang mit Vorfällen, insbesondere mit selbstverschuldeten Vorfällen, die durch Fahrlässigkeit der Benutzer verursacht werden. In der Regel handelt es sich dabei um wichtige sicherheitsbezogene Verhaltensweisen (sowohl in einem technischen als auch nicht technischen Zusammenhang), z. B. falsche Handhabung von Informationen, falsche Handhabung von Anmeldeinformationen, Konfigurationsfehler, Codierungsfehler usw.
Unser drittes Ziel ist es, die Gesamtstrategie unserer Sicherheitsorganisation zu unterstützen. Diese Strategie zielt darauf ab, eine Kultur aufzubauen, in der Vertrauen an erster Stelle steht, alltägliche Dinge (wie Schwachstellen beheben, Bedrohungen erkennen und bekämpfen und Mitarbeiter darin schulen, wie sie die Sicherheit verteidigen) besonders gut zu erledigen, die Tatsache anzuerkennen, dass Sicherheit Geschäftsinnovationen ermöglicht – und nicht blockiert –, und neue Maßstäbe in Bezug auf Sicherheit zu setzen. Angriffe und Angreifer werden von Tag zu Tag raffinierter, und das Team von Salesforce mit seinen herausragenden Sicherheitsexperten arbeitet kontinuierlich daran, den Bedrohungen von morgen immer einen Schritt voraus zu sein.
Unser viertes Ziel ist die Förderung von Verhaltensänderungen innerhalb des Unternehmens. Bei Zehntausenden von Mitarbeitern auf der ganzen Welt, die oft in einer virtuellen Umgebung arbeiten, kann es sich jedoch als schwierig erweisen, diese robusten Ziele mit einem kleinen Team zu erreichen. Um die Benchmark "Kennzahlen-Framework" zu erreichen, haben wir beschlossen, ein Dashboard zu erstellen, das verschiedene Dateneingaben rund um menschliche Risiken im gesamten Unternehmen einbezieht. Zu diesem Zweck nutzen wir unternehmensweite Zusammenarbeit.
Die Welt der Sicherheitsdaten ist klein
Bei der Erstellung eines Dashboards mit Daten zum Sicherheitsbewusstsein geht es vor allem darum, wer was weiß. Wir arbeiten regelmäßig mit dem Salesforce Incident Response-Team (auch bekannt als CSIRT) zusammen, um unsere Maßnahmen zur Bewusstseinsbildung zu unterstützen und die Anzahl der selbstverschuldeten Vorfälle, die auf die Fahrlässigkeit von Benutzern zurückgehen, zu reduzieren. Die Daten von Threat Intelligence helfen uns, neuen Bedrohungen zuvorzukommen und neue Vorfälle, die sich möglicherweise bereits abzeichnen, zu vermeiden.
Neben den Teams innerhalb der Sicherheitsorganisation arbeiten wir auch mit unserem Employee Communications-Team zusammen. Dieses hilft uns dabei, die besten Kanäle für Kampagnen zu verstehen und unsere datengestützten Botschaften zu vermitteln. Außerdem arbeiten wir mit unserem Employee Success Strategy and Analytics-Team zusammen, das darauf spezialisiert ist, das Verhalten der Mitarbeiter anhand von (unter anderem) Daten zu verstehen.
Dank dieser Zusammenarbeit konnte das Security Awareness-Team einen kennzahlenbasierten Ansatz entwickeln, der den Erfolg unseres Programms lenkt und misst. Wir haben Benchmarks und Ziele in Bezug auf Verhaltensänderungen festgelegt. Dazu gehören Daten zum Abschluss von Compliance-Schulungen, Daten zu Phishing-Simulationen, die Bewertung von Insider-Risiken, Probleme im Zusammenhang mit Vorfällen und die Gesamtstrategie. Außerdem nutzen wir Daten, die von verschiedenen Teams und Organisationen zur Verfügung gestellt werden, um das Dashboard für Sicherheitsbewusstsein weiter auszubauen, sodass Führungskräfte diese wichtigen Kennzahlen einsehen und nutzen können.
Darüber hinaus können wir mithilfe dieser Kennzahlen besser verstehen, wo in unserem Unternehmen menschliche Risiken bestehen, und gezielte Schulungen für die Bereiche/Organisationen mit den höchsten menschlichen Risiken anbieten. Heute sind wir in der Lage, diese Kennzahlen zu überprüfen, um unser Programm kontinuierlich zu verbessern, Ressourcen besser zu priorisieren und innovativere Programme zu entwickeln, indem wir Gemeinsamkeiten zwischen den Organisationen innerhalb des Unternehmens herstellen.
Wenn Sie daran interessiert sind, in Ihrer Organisation eine sicherheitsorientierte Kultur aufzubauen, kann Ihnen das Programm "Security Awareness Specialist" auf Trailhead weiterhelfen. Eignen Sie sich gefragte Fertigkeiten an, tauschen Sie sich mit anderen Trailblazern aus und bauen Sie Ihre Karriere im Bereich Cybersicherheit auf.