So schafft Salesforce Security Advocates
Wenn es darum geht, sich in der heutigen Zeit, in der Angriffe auf Lieferketten, Ransomware und politische Instabilität an der Tagesordnung sind, für Cybersicherheit einzusetzen, bringt es niemanden sehr weit, mit dem Finger auf die möglichen Verantwortlichen zu zeigen. Ich glaube stattdessen, dass sich jeder für Sicherheit einsetzen muss, und ich habe gelernt, dass es dabei eher um eine Denkweise als um eine bestimmte Rolle oder Verantwortung geht.
Nehmen Sie zum Beispiel die Plakate mit der Aufschrift "Wenn Sie etwas sehen, sagen Sie etwas", die überall im öffentlichen Nahverkehrssystem in New York aufgehängt sind. Wir schulen die Öffentlichkeit darin, nach potenziellen Risiken Ausschau zu halten, und dasselbe gilt für die Tech-Branche, wenn es um den Schutz unserer wertvollsten Assets geht. Aber wie genau machen wir das bei Salesforce? Mit der Hilfe unserer Kunden!
Richten Sie eine Feedbackschleife ein
Bei Salesforce setzen unsere Kunden großes Vertrauen (unser höchstes Gut) in unsere Fähigkeit, ihre Systeme am Laufen zu halten und ihre Daten zu schützen. In der Medizinbranche sind das zum Beispiel Patientendaten. In der Finanzdienstleistungsbranche sind es zum Beispiel Anlegerkonten. Und unzählige Regierungen und Kommunen verwenden Salesforce, um den Überblick über die COVID-19-Impfungen zu behalten. In Anbetracht der Sensibilität dieser Daten könnte ein erfolgreicher Hackerangriff katastrophale Folgen haben. Unsere Kunden verdienen es, zu wissen, welche Sicherheitsvorkehrungen wir treffen und warum sie uns ihre Daten anvertrauen sollten.
Als Director of Information Security bei Salesforce verbringe ich die meiste Zeit damit, mich als Teil des Security & Compliance Customer Success(SCCS)-Teams innerhalb der übergeordneten Salesforce-Organisation für Informationssicherheit für Sicherheit einzusetzen. Mein Team informiert Kunden nicht nur über die Sicherheitsinnovationen von Salesforce, sondern setzt sich auch im Namen unserer Kunden bei internen Produkt- und Technikteams für sie ein. Dadurch entsteht eine wichtige Feedbackschleife.
Informationssicherheit lässt sich nicht über Nacht erreichen. Salesforce weiß, wie wichtig es ist, von den Sicherheitsanforderungen und -innovationen unserer Kunden zu lernen, damit wir uns kontinuierlich verbessern können. Mein Team kanalisiert diese Ideen und leitet sie an die richtigen Technikteams bei Salesforce sowie an die Salesforce-Führungskräfte weiter, um für Transparenz zu sorgen. Wir setzen uns im Namen unserer Kunden bei der Salesforce-Führung und den Produktteams dafür ein, die Sicherheit kontinuierlich zu verbessern. Wir haben außerdem Tools entwickelt, um alle von unseren Kunden vorgebrachten Sicherheitsbedenken zu verfolgen und zu verwalten, sodass selbst die höchsten Führungsebenen Einblick haben. Uns für die Bedürfnisse unserer Kunden einzusetzen, ist Teil unseres Defense-in-Depth-Sicherheitsansatzes – eines Ansatzes, der Technologien, Prozesse und Menschen miteinander verbindet, um einzelne Schwachstellen zu eliminieren.
Wenn Sie etwas sehen, sagen Sie etwas
Wenn es um den "menschlichen" Aspekt unseres Sicherheitsansatzes geht, spielt jeder Salesforce-Mitarbeiter eine wichtige Rolle. Wir möchten jedoch keine Paranoia unter unseren Mitarbeitern auslösen. Deshalb arbeiten wir hart daran, sie darin zu schulen, wie sie verdächtige Aktivitäten erkennen, die zu etwas Ernsterem werden könnten. Phishing-E-Mails sind ein gutes Beispiel dafür. Experten zufolge beginnen zwischen 75 % und 91 % aller Angriffe mit einer bösartigen E-Mail. Heutzutage umspannen diese Social-Engineering-Versuche, mit denen Menschen dazu gebracht werden sollen, auf schädliche Links zu klicken oder sichere Informationen preiszugeben – auch Textnachrichten, QR-Codes, soziale Medien und die gefürchteten Robocalls.
Betrüger nutzen das Vertrauen der Menschen aus. Betrügereien beruhen darauf, das Vertrauen der "Zielperson" oder Opfers mithilfe von psychologischen Tricks zu gewinnen. Betrüger können zum Beispiel mit der Hilfsbereitschaft oder dem Ego des Opfers spielen. Wer würde nicht eine normalerweise verschlossene Tür für jemanden aufhalten, der in der Mittagspause mit zwei Dutzend Pizzakartons zu kämpfen hat?
Auf ähnliche Weise können sich Angreifer als Neulinge in der Branche des Opfers ausgeben und versuchen, über soziale Medien eine Verbindung mit dem Opfer herzustellen (Verbindungsanfragen produzieren Dopamin in unserem Gehirn, das uns ein gutes Gefühl gibt). Der Angreifer kann dann "unschuldige" Fragen stellen, die darauf abzielen, ein tieferes Verständnis für die im Unternehmen des Opfers eingesetzten Tools und Verfahren zu erlangen.
Die aktuelle Interaktion unten zeigt, wie der Angreifer, sobald er die Zielperson daran gewöhnt hat, Fragen zu beantworten, das Gespräch oft ausweitet, um an Informationen zu gelangen, auf die er keinen Zugriff haben sollte. In diesem Fall könnten die Informationen dazu verwendet werden, sich entweder für mich auszugeben oder andere in meinem Umfeld zu identifizieren.
Jedes Jahr wird auf der renommierten Hacker-Konferenz DefCon ein Wettbewerb abgehalten, bei dem Fachleute bei einem Zielunternehmen anrufen und versuchen, unter verschiedenen Deckmänteln und mit verschiedenen Tricks "unschuldig" an interne Informationen zu gelangen. Die Ergebnisse dieser Profis sind lehrreich und erschreckend zugleich.
Die ganze Welt in Ihren Händen
Teams für Informationssicherheit können zwar Maßnahmen ergreifen, um die Anzahl bösartiger E-Mails und Testdateianhänge zu reduzieren, doch nichts ist zu 100 % sicher. Wir brauchen daher die Hilfe aller. Die hier beschriebenen Arten von Angriffen (und zahllose andere Cyberbedrohungen) erfordern, dass sich jeder Mitarbeiter als Security Advocate im Namen seines Arbeitgebers und seiner Kunden für Sicherheit einsetzt.
Wie können wir als Führungskräfte unsere Mitarbeiter dazu bringen, im Namen unseres Unternehmens als Security Advocates tätig zu sein? Wir haben festgestellt, dass es wichtig ist, dass die Tätigkeit Spaß macht und die Mitarbeiter sich sowohl befähigt als auch wertgeschätzt fühlen. In der unten stehenden E-Mail, die ich kürzlich von Salesforce-Sicherheit erhalten habe, nachdem ich einen Phishing-Versuch gemeldet hatte, wird mir gratuliert und gedankt und die Auswirkung meiner kleinen Aktion deutlich gemacht.
Natürlich wäre es unrealistisch, eine 100-prozentige Erfolgsquote zu erwarten, wenn es darum geht, Mitarbeiter davon abzuhalten, mit einer riskanten E-Mail zu interagieren. Statistisch gesehen klicken 12 % aller Personen auf bösartige Anhänge, die sie erhalten. Wenn Ihr Unternehmen mehr als eine Handvoll Mitarbeiter hat, stehen die Chancen nicht gut. Doch das unterstreicht nur, wie wichtig die Aufklärung aller zum Thema Sicherheit ist.
Wir halten es für äußerst wichtig, Mitarbeitern, die auf etwas geklickt haben, auf das sie nicht hätten klicken sollen, nicht das Gefühl zu geben, sie hätten versagt. Stattdessen sollte diesen Mitarbeitern versichert werden, dass sie es beim nächsten Mal besser machen können, und es sollten ihnen Links zu Weiterbildungen zur Verfügung gestellt werden. Wir haben festgestellt, dass positive Verstärkung zu deutlich besseren Ergebnissen führt als Beschämung.
Beginnen Sie hier
Bei Salesforce verankern wir nicht nur Sicherheit in allem, was wir tun – wir teilen auch unsere Tools und gewonnenen Erkenntnisse mit unserem Ökosystem aus Kunden und Partnern. Denn wir wissen: Wenn alle von uns Daten besser schützen und vertraulich behandeln, dann können wir uns auf Innovationen konzentrieren und gemeinsam stärker werden.
Wenn Sie mehr über die Schulung Ihrer Benutzer, den Schutz Ihrer Salesforce-Organisation und die Förderung einer Sicherheitskultur in Ihrer Organisation erfahren möchten, sehen Sie sich das Modul "Security Basics" auf Trailhead, unserer kostenlosen Online-Lernplattform, an. Dort können Sie sich gefragte Fertigkeiten aneignen, Nachweise für Ihren Lebenslauf erwerben und sich mit einer Gemeinschaft von Trailblazern austauschen, um Mentoren und Beschäftigungsmöglichkeiten zu finden.
Ich hoffe, dieser Blogpost hat Sie zum Nachdenken angeregt und Sie darin bestärkt, sich als Security Advocate für Sicherheit einzusetzen und auch andere dafür zu gewinnen.