Die menschlichen Qualitäten der Cyber-Resilienz
Wenn wir an Sicherheit denken, stellen wir sie uns oft als einen hochtechnischen Bereich vor, und das ist sie auch. Was aber ein gutes Sicherheitsprogramm von einem großartigen Sicherheitsprogramm unterscheidet, ist unter anderem die Fähigkeit, die menschliche Seite von Sicherheit, die menschliche Seite von Vertrauen, zu überlagern, um ein noch stärkeres, widerstandsfähigeres Unternehmen aufzubauen. Was ist eine der menschlichen Qualitäten, die wir zum Aufbau von Resilienz anwenden können? Die Überwindung von Widrigkeiten. Und ich weiß das aus eigener Erfahrung.
Vom Surfbrett zum Systemausfall
Am 12. März 2007 wachte ich in einem Strandhotel auf und sah einem weiteren schönen Tag in Waikiki, Hawaii, entgegen. Ich hatte ein spaßiges Wochenende mit meiner Freundin und meinen Eltern auf der Hochzeit eines Cousins auf der Insel verbracht und wollte den Urlaub mit einem faulen Montag beginnen. Wir hatten den perfekten Tag geplant: morgens Surfunterricht, mittags mexikanisch Essen und Margaritas, nachmittags Massage, abends Luau. Auch im Büro hatten wir unsere Arbeitstage perfekt durchgeplant: eine Tasse Kaffee trinken, anmelden, ein paar E-Mails und Slack-Nachrichten abarbeiten, unsere Meetings für den Tag durchgehen und Leistungsziele festlegen.
In Hawaii liefen wir zum Strand, die Sonne schien auf unsere Haut, das Meer glitzerte, die Wellen rauschten. Wir begannen mit unserer Surfstunde. Ich paddelte hinaus, erwischte meine erste Welle und dachte mir, wie cool ich wohl aussehen musste und dass meine Freundin mich auf jeden Fall beeindruckend fand. Und auch sie beeindruckte mich mit ihren Surfkünsten. Nachdem wir etwa eineinhalb Stunden gesurft hatten, paddelten wir zurück ans Ufer. Ich bemerkte, dass mein Rücken schmerzte – kein Wunder, ich hatte ja noch nie gesurft. Vielleicht ist es wie an einem chaotischen Tag in der Arbeit, der Kaffee ist nur halb ausgetrunken und wird kalt, es gibt Schwierigkeiten bei der Anmeldung, die E-Mails türmen sich, man ist etwas spät dran, Probleme tauchen auf.
Im Laufe des Nachmittags wurden meine Schmerzen und Beschwerden immer stärker und schließlich musste ich mit dem Krankenwagen ins Krankenhaus gebracht werden, um mich einer Kernspintomografie zu unterziehen. Vom Beginn des Surfunterrichts bis zu dem Zeitpunkt, an dem ich meine Zehen nicht mehr bewegen konnte, waren sieben Stunden vergangen. Ich war gelähmt. Ich hatte eine seltene Rückenmarksverletzung erlitten, die sogenannte Surfer-Myelopathie. Diese wird nicht durch einen Zwischenfall oder Unfall ausgelöst, sondern durch einen Rückenmarksinfarkt, der durch die wiederholte und lang anhaltende Überstreckung meines Rückens verursacht wurde, während ich auf dem Surfbrett liegend Ausschau nach Wellen hielt. Seit fünfzehn Jahren bin ich nun an den Rollstuhl gefesselt. Auch am Arbeitsplatz bricht manchmal ein überwältigendes Chaos aus. Es kommt zu Fehlern, Sicherheitsverletzungen, Viren – zu Dingen, die wir nicht vollständig kontrollieren können.
Umdenken ist gefragt
Sowohl im persönlichen Leben als auch im Sicherheitsbereich werden wir unausweichlich mit schwierigen Situationen konfrontiert, mit Dingen, die wir nicht kontrollieren können, mit Unebenheiten auf der Straße. Die Art und Weise, wie wir mit diesen unausweichlichen Situationen umgehen und wie wir uns von ihnen nicht unterkriegen lassen, kann darüber entscheiden, ob wir zusammenbrechen oder wieder Tritt fassen. Wenn es um Cyber-Resilienz geht, denke ich oft an meine persönliche Erfahrung mit einer potenziell verheerenden Situation – und an die Erkenntnisse, die ich daraus gewonnen habe. Es erfordert ein gewisses Umdenken, aber ich glaube, dass es drei Bereiche gibt, die selbst den besten Sicherheitsteams helfen können, das Chaos zu bewältigen, fundierte Entscheidungen zu treffen und die Kontrolle zu gewinnen.
Das Fundament: Die Grundlagen und Prinzipien, die uns prägen
Mein Vater ist Verkäufer. Früher verkaufte er Staubsauger, heute verkauft er Grabplätze. Dabei stößt er ständig auf Ablehnung. Wenn er mich in unserem Toyota Tercel zur Schule fuhr, hörte er immer Motivationsredner wie Zig Ziglar, Tony Robbins und andere, die ihn anspornten. Als ich mich an mein neues Leben mit einer Lähmung gewöhnte, wurde mir klar, dass diese Einflüsse aus meiner Kindheit mir ein Fundament aus Optimismus, Positivität und lösungsorientiertem Verhalten gegeben hatten. Wenn in mir Gedanken hochkamen wie "das ist zu schwer" oder "warum ich", konnte ich mich umorientieren und Lösungen und Lichtblicke finden.
Aus der Sicherheitsperspektive gibt es nichts Wichtigeres als den Aufbau eines starken Fundaments und Kerns. Bei Salesforce nennen wir das "die Grundlagen beherrschen". Sie sollten Ihre Sicherheitsrisiken und Schwachstellen kennen, Rahmenbedingungen schaffen, um diese zu bewältigen, planen, testen und trainieren, um sicherzustellen, dass Sie so gut wie nur möglich vorbereitet sind. Auf diese Weise können Sie das Risiko gängiger Cyberbedrohungen erheblich minimieren. Welche Schwachpunkte gibt es in Ihrem Fundament und wie können Sie es stärken?
Anpassungsfähigkeit: die Fähigkeit, Herausforderungen in Chancen umzuwandeln
Ich musste mich in jedem Bereich meines Lebens anpassen. Anfangs machte ich mir nach meiner Verletzung zum Beispiel Sorgen, dass ich nicht mehr unabhängig sein würde, dass ich auf Leute angewiesen sein würde, die mich in diesen großen, sperrigen Rollstuhltransportern herumfahren. Wir fanden eine Lösung und rüsteten meine sportliche Limousine mit Handschaltern aus, die es mir ermöglichten, weiter selbst Auto zu fahren. Das wirkte sich auch positiv auf meine Psyche aus. Plötzlich wusste ich es zu schätzen, in Los Angeles allein im Verkehr zu sitzen.
Vom einem Sicherheitsstandpunkt aus betrachtet ist Anpassung der Schlüssel. Angenommen, Sie haben versucht, ein Systemproblem zu identifizieren und die Ursache zu beheben, aber der Prozess schlägt weiterhin fehl. Was wäre, wenn Sie sich stattdessen die Frage stellen würden: Welche Prozesse funktionieren wirklich gut? Was muss richtig laufen, damit dieser Prozess funktioniert und die Risiken dabei gemindert werden? Wie können Sie das als Grundlage für eine geeignete Huckepack-Lösung nutzen? Wie können Sie die Dinge, die nicht gut funktionieren, umorientieren und anpassen, und die Stärken Ihres Unternehmens ausspielen?
Der Stamm: diejenigen in unseren Energiekreisen, die das Leben mit uns erleben
Obwohl es schwer für mein Ego war, habe ich die Unterstützung von Familie, Freunden und Kollegen angenommen und, was noch schwieriger war, um Hilfe gebeten, wenn ich sie brauchte – sei es eine Schulter zum Ausweinen, das Sammeln von Spenden für eine teure Physiotherapie, die nicht von der Versicherung übernommen wurde, oder spirituelle Unterstützung wie Gebete, existenzielle Gespräche und Dankbarkeitsrituale.
Wenn es um Sicherheit geht, ist es unerlässlich, funktionsübergreifend zu arbeiten und zu denken, um Resilienz in jedem Teil des Unternehmens zu verankern – von der Rechtsabteilung zum Marketing, von der IT zu den Betriebsprozessen usw. Je mehr wir zusammenarbeiten, desto mehr können wir uns im Moment und nach einem Sicherheitsereignis aufeinander stützen und voneinander lernen. Silos sind ein Feind der Cyber-Resilienz.. Fragen Sie sich also: Wer ist Ihr Stamm, und bitten Sie ihn um Hilfe, wenn Sie ihn brauchen?
Fundament, Anpassungsfähigkeit, Stamm. In einer Welt, in der Risiken allgegenwärtiger sind als je zuvor, entscheiden wir uns für Resilienz, wenn wir die Herausforderungen und Widrigkeiten mit offenen Armen annehmen und zusammenarbeiten.