Zurück
Der Februar bringt eine Flut von Tagen zur Sensibilisierung für Cybersicherheit. Am 1. Februar erinnerte uns der Change Your Password Day daran, dass die Verwendung von "Rover123!" denn ein weiteres Online-Konto ist keine angemessene Verteidigung zwischen uns und Cyberkriminellen, während wir gestern – dem Safer Internet Day – ermutigt haben, positive Schritte zu unternehmen, um uns online zu schützen.
Aber wie lange halten diese positiven Erinnerungen an? Ich hatte einen Gastauftritt in der dieswöchigen Folge des Security Visionaries Podcasts, um zu argumentieren, dass die jährlichen Feierlichkeiten das Risiko bergen, einen "Mach es heute und vergiss es am nächsten"-Ansatz für die Cyberhygiene zu fördern. In Wirklichkeit sind tägliche Anstrengungen erforderlich, um eine konsequente und robuste Verteidigung zu gewährleisten. Wie können wir also einen ganzjährigen Cyber-Hygiene-Ansatz fördern?
Machen Sie es zur Kultur
Jährliche Cybersicherheitsschulungen werden oft genutzt, um Vorschriften und Versicherungsanforderungen einzuhalten, aber viele Mitarbeiter klicken sich gedankenlos durch jeden Bildschirm, ohne die Informationen vollständig zu verarbeiten. In der Woche danach sehen wir, dass das positive Verhalten in die Höhe schießt – es werden weniger zwielichtige Links angeklickt und sogar Warnungen zum Schutz vor Datenverlust (Data Loss Protection, DLP) werden leiser. Allzu bald kehren die Sicherheitsteams jedoch zu dem grundlegenden Risiko von Datenschutzverletzungen zurück, mit dem sie vor der jährlichen Schulung zu tun hatten.
Cyber Awareness ist effektiver, wenn es in die tägliche Unternehmenskultur integriert und wie eine Geschäftsinitiative und nicht nur wie eine Sicherheitsinitiative behandelt wird. Es mag übertrieben einfach und analog klingen, aber die Positionierung nützlicher Informationen in Form von Postern an der Kaffeemaschine oder sogar als Desktop-Hintergrund kann den Menschen wirklich helfen, Sicherheitsmeldungen zu sehen und abzurufen (stellen Sie sicher, dass Sie sie regelmäßig ändern, sonst werden sie Teil des Hintergrunds und werden nicht mehr bemerkt). Führungskräfte (nicht nur Sicherheitsverantwortliche) sollten der Bedeutung einer guten Cyber-Hygiene mehr Gewicht verleihen. Überlegen Sie, wie Sie Diskussionen darüber zu einem Teil Ihrer täglichen Geschäftsprozesse machen können. Hier bei Netskope vergeben wir vierteljährlich Auszeichnungen an Personen, die Cyber-Bedenken gemeldet haben, etwas, das vom CEO in Zusammenarbeit mit dem CISO geleitet wird, um die strategische Bedeutung dieses Problems wirklich zu verdeutlichen.
Machen Sie es persönlich
Um eine dauerhafte Verhaltensänderung zu fördern, sind Cyber-Awareness-Initiativen, die für die tatsächlichen Situationen, mit denen das Unternehmen konfrontiert ist, mit realen Risikoszenarien relevant sind, viel einfacher zu verstehen. Auf einer ähnlichen Ebene hilft die Implementierung automatischer Echtzeit-Benutzercoaching-Techniken, die beispielsweise genau in dem Moment erscheinen, in dem ein Mitarbeiter einen DLP-Alarm auslöst, Risiken in einen Kontext zu setzen, sobald sie auftreten. Auf diese Weise kann ein Mitarbeiter mit Echtzeit-Anleitungen arbeiten und langfristig ein besseres Cyber-Verständnis und ein sichereres Verhalten entwickeln.
Schulungen (und die in der Schulung verwendeten Beispiele) konzentrieren sich in der Regel auf den Nutzen für die Organisation. Denken Sie viel breiter, um in die Psyche des Menschen hinein zu spielen. Wenn eine Person erfährt, wie ihre eigenen Daten (und die ihrer Familie) gefährdet sein könnten, besteht die Möglichkeit, dass es langfristig zu einer größeren Trainingsbindung kommt.
Machen Sie es zu Zero Trust
So weit, so taktisch, aber die tägliche Cyberhygiene ist so viel einfacher, wenn Sie Ihre Sicherheitsarchitekturen nach Zero-Trust-Prinzipien aufgebaut haben. Unabhängig vom Bewusstsein der Mitarbeiter sollten Unternehmen davon ausgehen, dass es wahrscheinlich ist, dass es zu einer Sicherheitsverletzung kommen wird.
Durch die Verfolgung eines Zero-Trust-Ansatzes bei der Gestaltung von Sicherheitsprozessen sollte jeder Mitarbeiter mit dem geringsten Zugriff arbeiten, den er für die Erledigung seiner Arbeit benötigt. Das bedeutet, dass selbst wenn ein Angreifer Zugriff auf seine digitale Identität erhält (weil er auf Rover123 bestanden hat!), der Angreifer in seinen Möglichkeiten eingeschränkt ist. Wenn ein Unternehmen die Berechtigung zum Bündeln und Exfiltrieren sensibler Daten auf eine Handvoll Mitarbeiter beschränkt, die sie in ihrer Rolle benötigen, ist die Wahrscheinlichkeit, dass ein Angreifer einen erfolgreichen Angriff durchführt, stark geringer.
"Kontinuierlich adaptives Vertrauen", ein Modell, das Zugriffsberechtigungen auf mehreren Strömen von Verhaltensdaten basiert, die sich ständig ändern, stellt sicher, dass jeder seine Arbeit sicher erledigen kann. Hier wird alles berücksichtigt; Standort, Verhaltenstrends, Datentyp, Gerät, Identität, Aktivität, Anwendung und mehr, um sicherzustellen, dass die Berechtigungen ständig angepasst werden können, um ein Höchstmaß an Sicherheit zu gewährleisten.
Letztendlich sind wir dankbar für unsere jährlichen Erinnerungen, mehr Cyber-Bewusstsein zu schaffen, aber wir brauchen auch einen täglichen kulturellen Wandel hin zu mehr Online-Sicherheit. Positive Cyberhygiene sollte sowohl ein Ziel bei der Gestaltung von Sicherheitsarchitekturen als auch eine tägliche Gewohnheit sein (und das nicht nur am Safer Internet Day). Nur dann können wir ein sichereres Leben im Internet führen.
Weitere Tipps und Tricks finden Sie in der neuesten Folge des Podcasts Security Visionaries.
Den Blog lesen