People-Centric-Security

Ein Must-Read Buch für alle Sicherheitsverantwortlichen.

Was genau ist eine Sicherheitskultur, wie kann ich sie messen und verändern? Genau diesen Fragen geht der Autor auf den Grund und stellt überdies sehr praktische Anweisungen und Hilfsmittel zur Verfügung.

Der Mensch steht im Mittelpunkt der Informationssicherheit. Er wird unterstützt durch Technik und Prozesse. „Without people there is no security“. Ohne Menschen gäbe es schon gar keine Anforderungen an die Sicherheit – denn Computer und Prozesse sind da recht anspruchslos. Diese und viele weitere Aussagen des Autors treffen den Nagel auf den Kopf!

1.TEIL – Verstehe deine aktuelle Sicherheitskultur

Im ersten Teil geht der Autor stark auf den Begriff „Kultur“ ein. Jede Firma hat ihre eigene Kultur, die durch die Eigentümer, das Management, die Mitarbeiter, Lieferanten, Mitbewerber usw. über viele Jahre gewachsen ist. Und diese Kultur hat großen Einfluss auf die Entscheidungen der Menschen.

Die Triade „Mensch, Technik, Prozesse“ beschreibt Lance Hayden wie folgt: „… technology always comes first, followed by process when we can manage it, and people when we get around them.”. Ein Alltag, der vielen von euch wohl auch bekannt ist.

„Security is not a technology challenge.” Es ist eine menschliche, soziale und organisatorische Herausforderung. Es ist eine kulturelle Herausforderung.

Interessenskonflikte: Eine Kultur zeigt sich immer dort am stärksten, wo es Interessenskonflikte gibt. Beispiel: Soll das Software-Projekt in der Zeitvorgabe (oder Budgetvorgabe) abgeschlossen werden oder können wir die Sicherheitsüberprüfung noch durchführen? Genau hier zeigt sich, was in einer Organisation tatsächlich wertgeschätzt wird – und so handeln die Mitarbeiter. Herausforderungen wie diese sind der Alltag im Beruf und im Privatleben. Problem: durch die rasche Veränderung – hin zur Abhängigkeit von Informationen und Technologie – hat sich die Realität vieler Firmen verändert. Menschliche Veränderungen kommen da zeitlich oftmals nicht nach.

Firmen, die Kulturen pflegen welche der Sicherheit schaden treffen oft solche Aussagen:

  • „Wir machen das, weil es die [ISO27000|PCI-DSS|HIPAA|…] so vorschreibt!“

Lance Hayden nennt diese Firmen „compliance“ getriebene Organisationen.

Viele Firmen setzen alles auf die Technik – das spielt den Herstellern solcher Lösungen in die Karten.

Wer bestimmt also die Kultur einer Firma? Grundsätzlich einmal jeder – ja! C-Level, Manager, Eigentümer aber haben einen ganz besonders großen Hebel! Sie setzen die Maßstäbe und Toleranzgrenze.

Kultur wird durch Verhalten geprägt – diese beiden Dinge sind miteinander verwoben. „A persons behavior ist he visible result of culture.”

An dieser Stelle macht Hayden einen Verweis auf spezifische Bücher mit dem Thema Kulturwandel. Bücher zu diesem Thema gibt es genug: https://www.goodreads.com/list/show/83319.Corporate_Culture

Zentraler Bestandteil dieses Buchteils aber ist die Messung.

2.TEIL – Messen der Sicherheitskultur

Eine Firma hat selten nur eine Sicherheitskultur. Sie verteilen sich auf Länder, Business-units, Abteilungen, … Diesen Fakt gilt es zu akzeptieren und die verschiedenen Kulturen einer Firma zu erhaben.

Dies erfolgt mittels einem Modell zur Messung anhand von Interessenskonflikten (Competing Security Culture Framework – CSCF).

Letztlich lässt sich eine Firma bzw. ein Standort oder eine Organisationseinheit in einen der 4 folgenden Sicherheitskultur-Quadranten einordnen:

Natürlich hat jede Firma jede der 4 Ausrichtungen in unterschiedlichen Ausprägungen präsent, letztlich kristallisiert sich aber meist eine dominante Kultur heraus.

Behörden, Banken und kritische Infrastrukturen sind eher oben, während Corporates, Startups, Vereine sich eher unten bewegen.

Compliance Culture:

Ist eher von externen Anforderungen gesteuert (Gesetze, Regelungen, …).

Process Culture:

Krankenhäuser, Flugverkehr, Stromerzeugung, …

Trust Culture:

Manche Startups, aber auch sonst eher wenig verbreitet.

Autonomy Culture:

Am ehesten noch Startups, aber eher am Aussterben. Beispiel: BYOD (bring your own device).

Praktische Messung mittels SCDS (Security Culture Diagnostic Survey)

Lance stellt die Umfrage auf seiner Webseite zur Verfügung: http://lancehayden.net/culture/

Ich empfehle jeden CISO, sich diese Messungen anzusehen und vielleicht auch auszuprobieren.

Nach der Erhebung kommt der mit Sicherheit schwierigste Teil – die Interpretation der Ergebnisse. Hierzu liefert Lance in seinem Buch sehr gute Vergleichsbeispiele. Vor allem lassen sich Werte innerhalb einer Firma gut miteinander vergleichen (z.B. Business Units vs. Corporate Functions). Ziel eines Awareness Programmes ist, Sicherheit in die täglichen Entscheidungen einer Firma einzubinden. Nicht über Zwang, sondern aus einem bewussten Abwägung heraus – an bestehenden Werten ausgerichtet.

Spätestens an dieser Stelle sollten die Ziele klar definiert sein. Denn im nächsten Schritt geht es darum, erkannte Defizite zu adressieren und sich Schritt für Schritt der Sicherheits-Wunschkultur anzunähern.

Am einfachsten ist dies laut Lance in Firmen möglich, die sich vorrangig im Compliance-Quadranten befinden. Diese Firmen verstehen es gut, sich an Veränderungen anzupassen.

3. Teil – Verändere deine Sicherheitskultur

Ab Kapitel 10 orientier sich Lance stark am Buch „Managing the unexpected“ von Weick und Sutcliffe – übrigens seit vielen Jahren eines meiner Lieblingsbücher. Aus dem Buch entnimmt er die Theorie der „high reliable organization“ – kurz HRO. Das sind Organisationen, die nicht leicht aus dem Gleichgewicht zu bringen sind.

Folgende Eigenschaften haben HROs:

Um das Verhalten bei sicherheitsrelevanten Entscheidungen zu verbessern und die Kultur mittel- und langfristig zu verbessern empfiehlt Hayden nun das FORCE Model.

Dieses setzt sich den folgenden Core-Values zusammen:

  • F = Value of Failure
  • O = Value of Operations
  • R = Value of Resilience
  • C = Value of Complexity
  • E = Value of Expertise

An dieser Stelle erinnert mich das Buch oft an das fantastische Buch „Blackbox Thinking“ https://www.goodreads.com/book/show/24611735-black-box-thinking

Um die Qualität jedes der 5 Werte zu erheben, gibt es ein weiteres Werkzeug das Lance zum Download bereitstellt: Das Security FORCE Survey (http://lancehayden.net/culture/).

Die Erhebung basiert stets auf Basis qualitativer *und* quantitativer Messpunkte.

Aus meiner Sicht bieten sie Fragen bzw. Formeln einen guten Anhaltspunkt, wobei ich eher ein Freund von weniger – dafür aber guten und aussagekräftigen – als von vielen Messpunkten bin. Das hat vor allem mit der wetter- und situationsbedingten Streuung, den Befragungsintervallen und ganz vielen anderen Faktoren zu tun. Jedenfalls habe ich bessere Erfahrungen mit „wenig und oft“, statt „viel und selten“ zu messen gewonnen.

Lance gibt zu jeden der Werte mal mehr und mal weniger brauchbare Ansätze zur Verbesserung. Hier bleibt einem die eigene Arbeit nicht erspart.

Und dann nähert sich das Buch auch schon langsam aber doch dem Ende.

Vorher aber zeigt Lance noch die einzelnen Reifegrade anhand des CCMM Maturity Levels.

FAZIT

„You don´t lead machines!“

Meine 3 Take-aways aus dem Buch finden sich 1:1 auf Seite 376:

  • Menschen sind das wichtigste Element einer stabilen, nachhaltigen Sicherheitskultur.
  • Eine Sicherheitskultur lässt sich messen, analysieren und (langfristig) verändern.
  • Fehler sind Teil eines jeden komplexen Systems. Sie aufzuarbeiten und daraus zu wachsen schaffen nur ganz wenige!
Buchrezension: Blackbox Thinking