Um das Sicherheitsbewusstsein der Mitarbeitenden langfristig zu schulen und zu verbessern, sollten 5 Schritte beachtet werden, um eine Cyber Security Kultur aufzubauen und zu pflegen. Im Laufe dieser Blog-Serie stellen wir Ihnen diese 5 Schritte vor, inklusive ausgewählter Taktiken, die zum Erfolg führen werden. Teil drei beleuchtet den Aspekt der Messung und Nachverfolgung von Änderungen beim Aufbau einer Cyber Sicherheitskultur.
Viele Firmen haben das Problem, zwar eine Sicherheitskultur im Unternehmen zu haben und Sicherheits-Awareness Massnahmen zu implementieren, jedoch fehlt es am Wissen, ob diese Massnahmen von den Mitarbeitenden umgesetzt werden und ob die Sicherheitskultur gelebt werden kann. Andere Firmen wissen nicht, wie es um das Sicherheitsbewusstsein ihrer Mitarbeitenden bestellt ist.
Um den aktuellen Status einer Sicherheitskultur, respektive das Sicherheitsbewusstsein zu messen, haben wir eine Lösung entwickelt, welche seit 2005 Unternehmen unterstützt, zu eruieren, wie «sicher» ihre Mitarbeitenden sind. Der Security Awareness Radar® beschreibt und misst das organisatorische Verhalten einer Firma über die Zeit und erlaubt dadurch auch, Veränderungen sichtbar zu machen und Vergleiche zu ziehen. Erfahren Sie in diesem Beitrag, was der Security Awareness Radar® ist und wie er funktioniert.
Den Stand einer Sicherheitskultur zu messen, bedeutet, das Verhalten der Mitarbeitenden zu eruieren. Dies ist notwendig, wenn man seine Sicherheitskultur stärken und vorantreiben will. Nun stellt sich jedoch die Frage, wie macht man diesen laufenden Prozess sichtbar? Wie kann man die Informationssicherheit und die umgesetzten Massnahmen messen und überwachen? Viele Firmen haben genau hierbei Schwierigkeiten. Sie setzen Sicherheits-Awareness Massnahmen um, wissen jedoch nicht, wie wirtschaftlich diese sind, sprich ob die Massnahmen eine Verhaltensänderung bewirkt haben. Solches Wissen ist jedoch notwendig, um finanzielle und inhaltliche Unterstützung vom Management und der Führungsebene zu erhalten. Die Kosten einer Kampagne zu ermitteln sind nicht schwierig, jedoch Nutzen und Erfolg. Diese zeigen sich erst im veränderten Verhalten (1). Beispielsweise erlaubt ein Phishing Test das Prüfen des Verhaltens der Mitarbeitenden auf Phishing. Um zu wissen, wie eine Organisation unterwegs ist, reicht dies jedoch nicht aus. Dazu müssen alle Massnahmen und das Verhalten im Allgemeinen umfassender gemessen werden. Was sind jedoch Metriken, die man wählen muss, um das Verhalten zu messen?
Natürlich können Messkriterien und Messungen selber erstellt und durchgeführt werden. Dies erfordert jedoch spezifisches Fachwissen, welches oft nicht vorhanden ist. Auch der Mangel an Zeit ist massgeblich dafür verantwortlich, dass gute Ideen und Pläne nicht umgesetzt werden können..
TreeSolution hat ein wissenschaftlich fundiertes Messinstrument entwickelt, um genau hier anzusetzen und die Sicherheits-Awareness in Unternehmen zu messen und sichtbar zu machen.
Hierbei handelt es sich um einen Onlinefragebogen, welcher zeitlich und örtlich unabhängig ausgefüllt werden kann. Die Befragung kann initial gemacht werden, um zu überprüfen, wie es um die Sicherheit im Unternehmen überhaupt bestellt ist. Oder auch als wiederkehrendes Tool zur Überprüfung der Veränderung im Verhalten über die Zeit.
Der Fragebogen spricht Themen aus den Bereichen Organisation, Gruppe und Individuum an und liefert hierfür passende Verbesserungsmassnahmen. Diese lassen sich harmonisch in ein ISMS nach ISO 27001 einbinden. So sieht man bei jeder Massnahme den passenden ISO 27001 Verweis.
Die Umfrage zielt auf verschiedene Parameter ab. Unter anderem werden das Wertesystem, Wissen und die Wahrnehmung der Mitarbeitenden in Bezug auf Informationssicherheit abgefragt. Es werden die Stärken und die Schwächen einer Sicherheitskultur vor und nach einer Umsetzung von Massnahmen aufgezeigt. So werden die Bereiche Bewusstsein, Verhalten und Kultur abgedeckt und in der Auswertung übersichtlich dargestellt. Macht ein Unternehmen wiederkehrende Befragungen, können so Änderungen über lange Zeiträume verfolgt werden.
Mit der Gap-Analyse, einer kontinuierlichen Vergleichbarkeit der Sicherheits-Awareness, wird sichtbar, wo eine Firma heute steht und wo sie morgen sein sollte.
Die Methode ist wissenschaftlich und in der Praxis erprobt und eignet sich für jede Unternehmensgrösse. Dank jahrelanger Erfahrung sind die Massnahmen effektiv und umsetzbar.
Zusammen mit dem Kunden wird definiert, welche und wie viele Fragen an die Mitarbeitenden versendet werden. Die Befragungsmaske wird bei Bedarf an das Corporate Design des Kunden angepasst, sodass für die Mitarbeitenden ein Wiedererkennungswert entsteht. Auch wird das firmeninterne Wording für Abteilungen, Bereiche und Ausdrücke verwendet.
Nach dem Fertigstellen des Fragebogens wird dieser an die ausgewählten Mitarbeitenden versendet. Hierbei kann es die ganze Firma oder nur bestimmte Abteilungen sein. Die Befragung ist anonym und erlaubt keine Rückschlüsse auf die Personen. Bei zu kleinen Abteilungen oder zu wenig zurückerhaltenen Fragebogen innerhalb einer Abteilung werden die Fragen der übergeordneten Abteilung zugeordnet. Die Mitarbeitenden können die Befragung an ihrem Computer ausführen und sind somit zeitlich und örtlich unabhängig. Je nach Fragenanzahl dauert die Befragung 10-15 Minuten.
Nach Abschluss der Befragung wird diese durch TreeSolution ausgewertet und die Resultate zur Verfügung gestellt.
Zusammen mit dem Kunden werden im Anschluss die Verbesserungsmassnahmen geplant. In einem ersten Schritt wird definiert, wie die Informationssicherheitskultur aussehen soll. Darauf basierend wird mit dem Kunden entschieden, welche Aspekte der Informationssicherheitskultur beibehalten, verbessert oder völlig verändert werden sollten (die GAP- oder Lückenanalyse). Es werden Zielgruppen definiert und die passenden Hilfsmittel und Massnahmen gewählt und priorisiert. Verbesserung und Planung werden durch die leistungsstarken und automatisierten Prozesse unseres Security Awareness Radars® ebenfalls unterstützt.
Die erste Befragung der Mitarbeitenden bewertet die Ausgangssituation. Bei einer regelmässigen Wiederholung belegen die Ergebnisse Änderungen in der Informationssicherheitskultur und helfen, Investitionen zu rechtfertigen. Dies bedingt jedoch, dass zumindest der grösste Teil der Fragen stetig beibehalten wird.
Das Ziel der Befragung ist, den aktuellen Stand der Sicherheitskultur zu messen. Es soll das schwächste Glied in der Informationssicherheitskultur eruiert werden und die Möglichkeit liefern, dieses prioritär zu beheben.
Wird die Befragung regelmässig wiederholt, können Veränderungen im Sicherheitsverhalten sichtbar gemacht werden.
Bei der Auswahl der Fragen sollten jeweils mindestens zwei Fragen pro Domäne gewählt werden, damit eine Aussage über das Verhalten in diesem Bereich getroffen werden kann.
Damit die Befragung anonym bleibt, sollte die Organisationsauswertung nicht zu granular erfolgen, damit keine Rückschlüsse auf einzelne Personen gezogen werden können.
Wichtig ist zudem, dass man keine sogenannten «vanity metrics» verwendet. «Vanity metrics» oder auch Eitelkeitsmetriken genannt, sind Metriken, wie beispielsweise die Anzahl Service Desk Tickets oder die Anzahl geschulter Mitarbeitenden in einem Jahr. Solche Metriken sagen leider nichts über das Verhalten der Mitarbeitenden aus und sollten daher als ausschliessliche Messgrössen vermieden werden. Natürlich können sie ergänzend in Reports angegeben werden.
Für die Messungen mit dem Security Awareness Radar® stehen der Kunde und seine spezifischen Anforderungen als Organisation als unser Ausgangspunkt. Das heisst, für jedes Unternehmen sehen die Befragung und auch die Ergebnisse anders aus. Kein Unternehmen und keine Informationssicherheitskultur sind wie die andere. Mit dem Security Awareness Radar® wird dem Rechnung getragen.
Dank Benchmarking Einstellungen hat eine Firma bei der Auswertung die Möglichkeit, ihre Ergebnisse anonym mit Firmen ähnlicher Grösse und Branchen zu vergleichen. So lassen sich schnell und über-sichtlich Stärken und Schwächen im Vergleich zum Benchmark identifizieren und entsprechende Verbesserungsmassnahmen planen. Einerseits handelt es sich um einen Gesamtvergleich mit anderen Industrien, andererseits sieht man auch den Vergleich zwischen den einzelnen Umfrage Domänen mit den Resultaten der Firma sowie den besten und schlechtesten aus der verglichenen Industrie.
Auch innerhalb von der Firma kann beispielsweise zwischen Abteilungen oder Niederlassungen sowie Mitarbeiterkategorien verglichen werden.
Die Befragung ist ein Schritt, damit die Informationssicherheit in einer Firma zum Teil des Unternehmensalltags wird und Sicherheit durch alle Mitarbeitenden täglich gelebt werden kann. Das Sicherheitsbewusstsein kann dank optimaler Bewertung vor und nach Massnahmen mit dem Security Awareness Radar® gesteigert werden.
So sagt Daniel Graf vom Informatiksteuerungsorgan des Bundes ISB «Die Umfrage im Rahmen des Security Awareness Radar®-Checkups lieferte uns Erkenntnisse, anhand derer wir künftige Investitionen und Kampagnen besser planen können. Die Zusammenarbeit mit TreeSolution gab uns sicherheitsrelevanten Input, den wir sofort umsetzen konnten.»
Wie bereits gesagt, steht es jeder Firma offen, eine Messung ihrer Security Awareness selber zu entwickeln und durchzuführen. Ist das Know-how dazu vorhanden und die Zeit, steht dem nichts im Wege. Fehlt jedoch das eine oder das andere oder sogar beides, empfiehlt es sich, mit einem professionellen Anbieter zusammen zu arbeiten. Für die Umsetzung der Massnahmen kann selber gesorgt werden, oder ebenfalls auf professionelle Unterstützung gesetzt werden. TreeSolution unterstützt auch hier gerne beratend, konzeptionell und mit viel Feingefühl für den Kunden.
Referenzen:
1) Informationssicheres Verhalten automatisiert messen, Absatz 1. https://www.researchgate.net/publication/327572560_Informationssicheres_Verhalten_automatisiert_messen
