Exklusiv im #ConfareBlog mit Marcus Beyer, Swisscom (Schweiz) AG:
Human Centered Security betrachtet den Menschen nicht als Schwachstelle
CIOs und IT-Manager*innen machen die Welt zu einem besseren Ort. Sie leben neue Führungsprinzipien vor, schaffen die Voraussetzungen für Nachhaltigkeit und Umweltschutz oder helfen gesellschaftlichen Herausforderungen mit Digitalisierung und Technologie zu meistern. Sie verändern Unternehmen oder sogar ganze Branchen, helfen Menschen, die in Not sind und leben gesellschaftliche Verantwortung vor.
Der Confare #ImpactAward macht diese Leistungen sichtbar. Die Gewinner*innen werden beim Confare #CIOSUMMIT Frankfurt gekürt. Wollen Sie persönlich die besten Beispiele erleben? Melden Sie sich jetzt an.
Wir stellen Ihnen die Nominierten im Confare Blog vor: Als Security Awareness Officer spielt Marcus Beyer nicht nur eine wichtige Rolle für Cybersecurity bei Swisscom (Schweiz) AG, er ist auch international einer der gefragtesten Experten, wenn es um die Kommunikation der Risiken und sicherheitsrelevanten Aspekte der IT geht.
Ab Mai können Sie Marcus Beyer und weitere hochkarätige IT-Leader*innen täglich mit Ihrer Stimme beim Voting unterstützen.
Sie kennen weitere IT- und Digitalisierungs-Profis, die die Welt zu einem besseren Ort machen? Jetzt für den Confare #ImpactAward nominieren.
Marcus Beyer und mehr als 200 hochkarätige IT-Profis treffen Sie persönlich beim Confare #CIOSUMMIT Zürich, dem wichtigsten IT-Management Treffpunkt der Schweiz. Für IT-Manager*innen ist die Teilnahme kostenfrei – melden Sie sich gleich an.
Human Centered Security
Wie komplex ist Cybersecurity heute wirklich? Was bedeutet das für Anwender und Organisationen?
Gerade mit den ganzen Cloud-Diensten und Services, den sozialen Medien, KI/AI wird die Welt der IT immer komplexer. Sicherheit findet heute nicht mehr nur auf dem Endgerät, dem eigenen Laptop, im Homeoffice oder im Büro oder auf dem Mobiltelefon statt. Daten und Services liegen irgendwo – und das macht es eben komplexer. Schatten-IT ist nicht mehr per se im Schatten, sondern befinden sich irgendwo im Cyberspace. Und hier fängt es dann an, unübersichtlich für Organisationen und Anwender zu werden. Zudem steigt eben auch die Abhängigkeit von grossen Anbietern. Man muss hier viel mehr auf Datenschutzvorgaben des eigenen Landes, der Regulatoren oder der eigenen Organisation achten. Supply Chain Security bekommt eine viel stärkere Bedeutung. Und es braucht die Fachspezialisten, die das alles organisieren, konfigurieren und administrieren können. Es braucht neue Skills und eine bessere, aber auch zielgruppen- bzw. anwendergerechtere Ausbildung.
Human Centered Security
Wie bekommt man bei der heutigen Informationsflut Aufmerksamkeit für die wichtigen Fragen der Cyber-Sicherheit?
Aus meiner Sicht geht das nur mit Attraktivität und Aktualität – von Trainings wie auch Informationen. Man muss auf vielen Kanälen spielen und die Informationen so aufbereiten, dass sie in der jeweiligen benötigten Tiefe konsumierbar sind.
Man muss eben in die Organisation hineinhören, um die richtigen Kommunikations- und Trainingsangebote zu schnüren, ohne die Organisation oder die Mitarbeitenden zusätzlich zu stressen. Wir haben grossen Erfolg mit unseren Trainings, weil der Aspekt von Gamification per excellence ausgespielt wird. Wettbewerb ist hier ein gutes Zugpferd. Und wir machen es anders, neuer, frischer, attraktiver.
Human Centered Security
In der IT gibt es den Schmähbegriff des DAU – der dümmste anzunehmende User. Es heisst in Fragen der Sicherheit immer: „Das Problem sitzt vor dem Bildschirm“ oder „der Mensch ist die grösste Schwachstelle“. Ist das ein geeignetes Menschenbild für Cybersecurity Awareness?
Solange wir aus IT-Sicht diese Begrifflichkeiten spielen, werden wir die Mitarbeitenden auch dort haben. Das ist so ein bisschen die selbsterfüllende Prophezeiung. Der Mensch ist das wichtigste Gut, was ein Unternehmen oder eine Organisation besitzt. Zudem ist es immer ein Zusammenspiel von People, Processes und Technology. Wenn IT nicht anwendbar – usable- ist, werden Mitarbeitende Fehler machen oder sich Workarounds bauen. Wenn Policies, Weisungen und Vorgaben nicht anwendbar sind, die Arbeit be- oder verhindern, nicht auf die Bedürfnisse der Nutzer*innen abgestimmt sind, werden sie nicht angewendet. Und wenn wir keine ausgebildeten und sensibilisierten Mitarbeitenden haben, wenn Stress und 24/7 Erreichbarkeit erwartet wird, werden Mitarbeitende Fehler machen. Wir brauchen einen stärkeren Fokus auf den Mitarbeitenden – Human focused Security eben. Oder ein vernünftiges Human Risk Management. Heute spielt vieles eben noch auf Technologie-Ebene und der Mitarbeiter wird mit seinen Bedürfnissen oft nicht gesehen.
Human Centered Security
Wie wirksam sind Verbote und Strafen für mehr Sicherheit? Was sind gangbare Alternativen aus Deiner Sicht?
Es braucht die Leitplanken, es braucht Vorgaben. Die sind ja dafür gemacht, um Orientierung zu geben. Und genau dafür. Verbote und Strafen klingt nach “Zuckerbrot und Peitsche”. Das ist natürlich kontraproduktiv. Es gibt hier durchaus ein grosses Aber: Verstösse gegen die Regeln müssen natürlich geahndet werden. Dazu braucht es ein vernünftiges und mit HR einen abgestimmten Eskalations- und Sanktionierungsprozess. Und tatsächlich sind auch Audits und Kontrollen durchaus hilfreich. Leute, Teams und Abteilungen auf Fehlerquellen hinzuweisen, das hilft natürlich. Hier reden wir dann aber über ein transparentes, proaktives und positives Fehlermanagement. Aus Fehlern lernen, gehört ja zum Verbesserungsprozess dazu.
Human Centered Security
Wie wichtig sind Usability und Human Xperience in der Cybersecurity?
Neben “Proccess” und “People” ist ja “Technology” die dritte Säule im Schutz der Sicherheit. Nur wenn Technologie anwendbar – usable – ist, dann ist die Fehleranfälligkeit geringer, aber auch der Einsatz und Nutzen von Technik höher. Das sehen wir ja z.B. bei Passwordsafes/Password Managern. Da gibt es welche, die sind sehr nerdy – geliebt von den Techs – gehasst von den “normalen” Anwendern. Nun, was ist da der beste Weg? Anwendbarkeit schafft klar auch Akzeptanz.
Human Centered Security
Welche Methoden, Tools und Prozesse haben sich im Bereich der Security Awareness bewährt?
Es ist eigentlich ganz einfach: Attraktivität steigert immer auch die Akzeptanz von Massnahmen. Gamification nutzt den Spieltrieb aus – und wer lernt nicht gern auf spielerischer Art. Zudem kommt ein gutes Storytelling: Geschichten erreichen eben auch emotional die Mitarbeitenden. Daher sind es weniger die Tools, sondern mehr die Art und Weise, wie man Security Awareness Massnahmen einsetzt.
Human Centered Security
Was sind Deine 5 wichtigsten Tipps an CIOs und CISOs, um das Thema Awareness bei Management und Anwendern voranzubringen?
Eine Aussage kommt ja schon mit der Frage: Viele Unternehmen fokussieren auf die Mitarbeitenden – das Management lässt man gern mal aus. Aber auch hier braucht es Security Awareness: Sensibilisierung für Risiken und Training. Man sollte hier nicht an Engagement und Massnahmen sparen. Dann ist es wichtig, in die Organisation hineinzuhören: Was wollen und brauchen die Mitarbeitenden? Wie unterstützt Security in der täglichen Arbeit? Wie werden wir als Security Abteilung wahrgenommen. Genau wie beim Kunden heisst es: Frage deine Zielgruppe. Nicht ohne Grund switchen auch Organisationen wie Gartner ihre bislang praktizierten und publizierten Strategien: Weg von Computer Based Trainings hin zu Cyber Security Behavior Change.
Human Centered Security
Wieviel gesellschaftliche Verantwortung trägt man als Entscheider im Bereich Cybersecurity und als Führungskraft im Allgemeinen? Was bedeutet das für Dich in Deiner täglichen Praxis?
Natürlich haben Führungskräfte im Unternehmen, die Unternehmen und Organisation selbst, auch eine gesellschaftliche Verantwortung. Für uns als Swisscom kann ich sagen, dass wir nicht nur innerhalb der Organisation für Sicherheit sorgen, sondern auch das Schweizer Internet sicherer machen – technisch wie auch organisatorisch. Unsere Unterstützung als Platin-Partner der Swiss Internet Security Alliance und die tatkräftige mit personellen wie auch finanziellen Ressourcen der Internetplattform iBarry.ch sind nur zwei von vielen anderen Beispielen. Ja, wir haben als Unternehmen immer auch eine gesellschaftliche Verantwortung, aber nicht nur im Thema Cybersicherheit, sondern auch bei Diversity Themen genauso wie im Thema Nachhaltigkeit und vielen anderen.
Human Centered Security
Welche Bedeutung hat der Confare #ImpactAward für Dich persönlich?
Allein die Nominierung macht mich megastolz. Ich würde allerdings mein Engagement auch ohne Auszeichnung so weiterführen wie bisher. Denn mein Herz schlägt für das Thema, ich brenne dafür. Die #ImpactChallenge kann und soll natürlich auch als Leuchtturm anderen Führungskräften Inspiration und Wegleitung geben. Wir alle haben eine Verantwortung – für den gesellschaftlichen Diskurs, für unsere Mitarbeitenden wie auch unsere Organisation an sich.
Genderhinweis:
Zur besseren Lesbarkeit dieses Blogartikels verwenden wir das generische Maskulinum. Die in diesem Blogartikel verwendeten Personenbezeichnungen beziehen sich – sofern nicht anders kenntlich gemacht – auf alle Geschlechter.