Cybersicherheitsbewusstsein: Das nötige Rüstzeug für unsere Mitarbeiter

Ob es Ihnen gefällt oder nicht, wenn es um Unternehmen geht, sind unsere Mitarbeiter der neue Angriffsvektor – und deshalb ist Cybersicherheitstraining so wichtig. Während unsere Identity Governance-Lösungen zum Schutz und zur Stärkung des Unternehmens beitragen, wissen wir, dass die primäre Verteidigungslinie bei jeder einzelnen Person unterhalb des sprichwörtlichen Daches dieses Unternehmens liegt. Wir ermutigen unsere Kunden, Vertragspartner, Mitarbeiter und Partner, sich durch Schulungen zum Thema Cybersicherheit weiterzubilden, denn wie wir kürzlich gesehen haben, verursachen Datenverstöße oft einen Dominoeffekt mit schwerwiegenden Kollateralschäden.

Der menschliche Angriffsvektor

Wie wir in den Nachrichten gesehen haben, werden Cyberangriffe immer raffinierter und zielgerichteter, da sich Hacker auf die inhärente Verwundbarkeit des menschlichen Angriffsvektors konzentrieren. Wie ich in Die Anatomie eines Datenverstoßes beschrieben habe, verbringen Hacker oft lange Zeit in der Aufklärungsphase eines Angriffs, in der sie Ziele isolieren und gründliche Nachforschungen anstellen, bevor sie zuschlagen. Diese Angriffe sind vielfältig, darunter aggressives Cracken, Phishing und Speer-Phishing, Social Engineering per Telefon, persönlich und sogar am Arbeitsplatz. Während sich die Technologie mit Dingen wie BYOD, der Cloud und Remote-Mitarbeitern weiterentwickelt, wird auch die Angriffsfläche immer größer. Und Hacker nehmen dies zur Kenntnis.

Es genügt nicht, dass sich die Mitarbeiter während der Arbeit der potenziellen Fallstricke der Cybersicherheit bewusst sind. Selbst wenn Mitarbeiter im Büro die Sicherheitsprotokolle befolgen, vergessen sie oft andere potenzielle Angriffsvektoren wie private Mobiltelefone, Tablet-PCs und Computer, die häufig für den Zugriff auf Unternehmensdaten verwendet werden. Außerdem stellen die Mitarbeiter über Social Media wertvolle personenbezogene Daten zur Verfügung, die in Kombination mit dem, was im Internet durch frühere Datenverstöße verfügbar ist, Hackern einen umfassenden Überblick über die Identität eines Benutzers geben. Mit all diesen Informationen ist es für Hacker einfach, Zugriff auf die Accounts der Mitarbeiter und damit auf das Unternehmen zu erhalten.

Und leider hört es nicht bei den Mitarbeitern auf. Auch Freunde und Familie sind Ziele, die den Zugriff zu Informationen über die geplanten Zielpersonen ermöglichen. Aus diesem Grund ist es wichtig, dass die Mitarbeiter die Bedeutung eines Cybersicherheitsbewusstseins auch bei den ihnen nahe stehenden Personen hervorheben und Best Practices außerhalb des Arbeitsplatzes befolgen. So dürfen beispielsweise Freunde und Familie keine Arbeitsgeräte verwenden, sich nicht über ein beliebiges Gerät mit ungesicherten Netzwerken verbinden und keine nicht zugelassenen Geräte für den Zugriff auf Unternehmensanwendungen und -systeme verwenden.

Was ist Ihre Aufgabe?

Jede Person in einer Organisation spielt eine Schlüsselrolle bei der Abwehr eines möglichen Datenverstoßes. Mitarbeiter können lernen, die Daten des Unternehmens gut zu verwahren, indem sie bewährte Sicherheitsverfahren anwenden, an allen Schulungen zum Thema Cybersicherheit teilnehmen, ihren eigenen Zugriff managen und die entsprechenden internen Kontakte alarmieren, wenn sie einen Verdacht auf einen Verstoß hegen. Im Endeffekt sollten die Mitarbeiter immer davon ausgehen, dass sie Ziele sind, und entsprechend handeln, indem sie einfache Sicherheitsmaßnahmen ergreifen, wie das Sperren ihrer Computer, wenn sie ihren Schreibtisch verlassen, das Ausschalten von WLAN, wenn sie nicht im Netzwerk sind, und sogar physische Maßnahmen wie das Abdecken von eingebauten Kameras und das Verschließen von Laptops an sicheren Orten, wenn sie das Büro verlassen.

Umgekehrt besteht die Aufgabe der IT-Abteilung darin, Mitarbeiter durch Cybersicherheitstrainings zu schulen und auszustatten, einschließlich interner Tests wie Phishing-Training, gezielte Angriffe und sogar Social Engineering. Nur so kann sichergestellt werden, dass die Mitarbeiter die verschiedenen Methoden verstehen, die Hacker verwenden, um Zugriff zum Unternehmen zu erhalten. Die IT-Abteilung kann auch einen ganzheitlichen Ansatz für das Lifecycle-Management verfolgen und die Mitarbeiter durch die Prozesse für neue, transferierte und ausgeschiedene Mitarbeiter begleiten, um sicherzustellen, dass ihr Zugriff in jeder Phase angemessen ist. Um dies effektiv zu erreichen, benötigt die IT-Abteilung die richtigen Identity Governance-Tools, mit denen sie den Nutzungszyklus verfolgen, den Zugriff auswerten und das schleichende Berechtigungswachstum verhindern kann. Identity Governance kann auch zusätzliche Sicherheitsschichten bieten, die sowohl die Sicherheit erhöhen als auch Benutzer befähigen, ähnlich wie bei Passwortverwaltung und Single-Sign-On. Das ultimative Ziel ist es, die Mitarbeiter zu befähigen, sie zu unterstützen, ihnen die Angst zu nehmen und Vertrauen zu vermitteln, ohne dabei die Sicherheit zu gefährden. Das Schöne daran ist, dass Identity Governance uns die Möglichkeit gibt, dies zu tun, und gleichzeitig unsere Daten sicher in unseren Händen liegen.

Kämpfen wir eine verlorene Schlacht?

Mit Cyberattacken, die täglich die Schlagzeilen füllen, werden Mitarbeiter und Unternehmen mürbe gemacht und mit der Realität konfrontiert, dass es keine Ausnahmen gibt (nicht einmal die US Nationale Sicherheitsbehörde oder das Office of Personnel Management). Viele werden sich wahrscheinlich fragen, ob wir eine verlorene Schlacht kämpfen, angesichts der bitteren Realität, dass eine von vier Organisationen einen Datenverstoß erleiden wird. Die eine Sache, die wir gelernt haben, ist, dass es oft gar nicht so schlimm ist, wenn das passiert. Tatsächlich werden Organisationen offener und ehrlicher, wenn es zu einem Verstoß kommt, und andere Organisationen werden vorsichtiger, für den Fall, dass sie die nächsten sind.

Heutzutage dreht sich alles um die Balance zwischen Prävention und Detektion. Die alte Version des Schutzes war der traditionelle Perimeter, aber die neue Version ist eine Balance aus Prävention UND Detektion, erreicht durch Mitarbeiterschulung und eine benutzerzentrierte Sicherheitshaltung, einschließlich einer robusten Identity Governance-Plattform. Durch Identity Governance können die Maßnahmen, die wir im Bereich der Prävention ergreifen, auch die Detektion ermöglichen und einen Überblick über alle Elemente des IT-Ökosystems liefern. Identity Governance kann Verstöße schnell erkennen und umfassend beseitigen, was es zu einem unverzichtbaren Bestandteil macht in einer Welt der Schwachstellen, Gefährdungen, Detektionen und Reaktionen.

Betrachten Sie Ihre Mitarbeiter als wichtige Schlüsselhalter der entscheidenden „Schlüssel“ zum Königreich – und bewaffnen Sie sie mit den Werkzeugen, die sie benötigen, um die Daten Ihres Unternehmens zu schützen. Dadurch werden nicht nur die personenbezogenen Daten eines jeden Nutzers geschützt, sondern Ihr Unternehmen erhält auch eine zusätzliche Schutzschicht, sodass Sie immer auf der sicheren Seite sind und vorwärts blicken können.


Discussion