People-Centric-Security

Ein Must-Read Buch für alle Sicherheitsverantwortlichen.

Was genau ist eine Sicherheitskultur, wie kann ich sie messen und verändern? Genau diesen Fragen geht der Autor auf den Grund und stellt überdies sehr praktische Anweisungen und Hilfsmittel zur Verfügung.

Der Mensch steht im Mittelpunkt der Informationssicherheit. Er wird unterstützt durch Technik und Prozesse. „Without people there is no security“. Ohne Menschen gäbe es schon gar keine Anforderungen an die Sicherheit – denn Computer und Prozesse sind da recht anspruchslos. Diese und viele weitere Aussagen des Autors treffen den Nagel auf den Kopf!

1.TEIL – Verstehe deine aktuelle Sicherheitskultur

Im ersten Teil geht der Autor stark auf den Begriff „Kultur“ ein. Jede Firma hat ihre eigene Kultur, die durch die Eigentümer, das Management, die Mitarbeiter, Lieferanten, Mitbewerber usw. über viele Jahre gewachsen ist. Und diese Kultur hat großen Einfluss auf die Entscheidungen der Menschen.

Die Triade „Mensch, Technik, Prozesse“ beschreibt Lance Hayden wie folgt: „… technology always comes first, followed by process when we can manage it, and people when we get around them.”. Ein Alltag, der vielen von euch wohl auch bekannt ist.

„Security is not a technology challenge.” Es ist eine menschliche, soziale und organisatorische Herausforderung. Es ist eine kulturelle Herausforderung.

Interessenskonflikte: Eine Kultur zeigt sich immer dort am stärksten, wo es Interessenskonflikte gibt. Beispiel: Soll das Software-Projekt in der Zeitvorgabe (oder Budgetvorgabe) abgeschlossen werden oder können wir die Sicherheitsüberprüfung noch durchführen? Genau hier zeigt sich, was in einer Organisation tatsächlich wertgeschätzt wird – und so handeln die Mitarbeiter. Herausforderungen wie diese sind der Alltag im Beruf und im Privatleben. Problem: durch die rasche Veränderung – hin zur Abhängigkeit von Informationen und Technologie – hat sich die Realität vieler Firmen verändert. Menschliche Veränderungen kommen da zeitlich oftmals nicht nach.

Firmen, die Kulturen pflegen welche der Sicherheit schaden treffen oft solche Aussagen:

  • „Wir machen das, weil es die [ISO27000|PCI-DSS|HIPAA|…] so vorschreibt!“

Lance Hayden nennt diese Firmen „compliance“ getriebene Organisationen.

Viele Firmen setzen alles auf die Technik – das spielt den Herstellern solcher Lösungen in die Karten.

Wer bestimmt also die Kultur einer Firma? Grundsätzlich einmal jeder – ja! C-Level, Manager, Eigentümer aber haben einen ganz besonders großen Hebel! Sie setzen die Maßstäbe und Toleranzgrenze.

Kultur wird durch Verhalten geprägt – diese beiden Dinge sind miteinander verwoben. „A persons behavior ist he visible result of culture.”

An dieser Stelle macht Hayden einen Verweis auf spezifische Bücher mit dem Thema Kulturwandel. Bücher zu diesem Thema gibt es genug: https://www.goodreads.com/list/show/83319.Corporate_Culture

Zentraler Bestandteil dieses Buchteils aber ist die Messung.