Sicherheitskultur
topic - Kurzbeschreibung
Beschreibung
Die Kultur der Informationssicherheit beschreibt nicht nur, wie sicherheitsbewusst die Mitarbeiter sind, sondern auch die Ideen, Bräuche und sozialen Verhaltensweisen einer Organisation, die sich sowohl positiv als auch negativ auf die Informationssicherheit auswirken. Kulturelle Konzepte können dazu beitragen, dass verschiedene Segmente der Organisation effektiv arbeiten oder der Effektivität der Informationssicherheit innerhalb einer Organisation entgegenwirken.
- Die Art und Weise, wie Mitarbeiter über Sicherheit denken und fühlen und wie sie handeln, kann einen großen Einfluss auf die Informationssicherheit in Organisationen haben.
- Roer & Petric (2017) identifizieren sieben Kerndimensionen der Informationssicherheitskultur in Organisationen:
- Haltungen: Gefühle und Emotionen der Mitarbeiter in Bezug auf die verschiedenen Aktivitäten, die mit der organisatorischen Informationssicherheit zusammenhängen.
- Verhaltensweisen: Tatsächliche oder beabsichtigte Aktivitäten und risikobehaftete Handlungen von Mitarbeitern, die sich direkt oder indirekt auf die Informationssicherheit auswirken.
- Kognition: Bewusstsein, überprüfbares Wissen und Überzeugungen der Mitarbeiter in Bezug auf Praktiken, Aktivitäten und Selbstwirksamkeit, die mit der Informationssicherheit in Zusammenhang stehen.
- Kommunikation: Die Art und Weise, wie Mitarbeiter miteinander kommunizieren, das Gefühl der Zugehörigkeit, die Unterstützung bei Sicherheitsfragen und die Meldung von Vorfällen.
- Einhaltung: Befolgung der Sicherheitsrichtlinien des Unternehmens, Bewusstsein für die Existenz solcher Richtlinien und die Fähigkeit, sich an den Inhalt solcher Richtlinien zu erinnern.
- Normen: Wahrnehmung sicherheitsrelevanter organisatorischer Verhaltensweisen und Praktiken, die informell von den Mitarbeitern und ihren Kollegen als normal oder abweichend angesehen werden, z.B.
- verborgene Erwartungen in Bezug auf Sicherheitsverhalten und ungeschriebene Regeln für die Nutzung von Informations- und Kommunikationstechnologien.
- Verantwortlichkeiten: Das Verständnis der Mitarbeiter für die Rollen und Verantwortlichkeiten, die sie haben, ist ein entscheidender Faktor für die Aufrechterhaltung oder Gefährdung der Informationssicherheit und damit der Organisation.
Andersson und Reimers (2014) stellten fest, dass Mitarbeiter sich oft nicht als Teil der "Bemühungen" der Organisation um die Informationssicherheit sehen und häufig Handlungen vornehmen, die die Interessen der Organisation an der Informationssicherheit ignorieren. Die Forschung zeigt, dass die Informationssicherheitskultur kontinuierlich verbessert werden muss.
- In der Studie "Informationssicherheitskultur von der Analyse bis zur Veränderung" stellen die Autoren fest: "Es ist ein nie endender Prozess, ein Kreislauf aus Bewertung und Veränderung oder Pflege." Um die Informationssicherheitskultur zu managen, sollten fünf Schritte unternommen werden: Vorbewertung, strategische Planung, operative Planung, Umsetzung und Nachbewertung.
- Vor-Evaluierung: Ermittlung des Bewusstseins der Mitarbeiter für die Informationssicherheit und Analyse der aktuellen Sicherheitspolitik
- Strategische Planung: Um ein besseres Bewusstseinsprogramm zu entwickeln, müssen wir klare Ziele setzen.
- Die Bündelung von Mitarbeitern ist hilfreich, um dies zu erreichen.
- Operative Planung: Schaffung einer guten Sicherheitskultur auf der Grundlage von interner Kommunikation, Management-Buy-in, Sicherheitsbewusstsein und Schulungsprogrammen
- Umsetzung: sollte das Engagement des Managements, die Kommunikation mit den Organisationsmitgliedern, Kurse für alle Organisationsmitglieder und das Engagement der Mitarbeiter beinhalten
- Post-Evaluierung: um die Wirksamkeit der vorangegangenen Schritte besser einschätzen zu können und auf kontinuierliche Verbesserung zu setzen