Information Technology Reference
In-Depth Information
aufzeigen, sondern auch dann, wenn man bereits vor einer der genannten
Bedrohungen geschützt ist:
Wenn man beispielsweise bei der Entscheidung für oder gegen eine bestimmte
Software auch sicherheitstechnisch richtig lag, weil die abgelehnte Software durch
eine Reihe von Sicherheitsmängeln in Erscheinung tritt, dann ist das durchaus
erwähnenswert. Zum Beispiel so:
„Entscheidung für X-Tool goldrichtig:
Y-Tool mit mehreren Sicherheitslücken in den Schlagzeilen!“
Ähnliche Nachrichten lassen sich aus anderen Sicherheitsvorfällen generieren.
Zum Beispiel zu einem Vorfall mit einem gestohlenem Laptop:
„Datenskandal nach Laptop-Diebstahl in XY GmbH:
Unsere Laptops durch Festplattenverschlüsselung geschützt!“
Auch ist es eine gute Nachricht, wenn man die Gefahr schnell abwenden konnte,
die von einer neuen Sicherheitslücke ausging:
„Nur 2 Stunden nach Bekanntwerden der neuen Sicherheitslücken im Betriebssystem:
Unsere Server bis auf weiteres durch Work-Around vor Angreifern geschützt!“
Viele Sicherheitsprofis haben mit der Zeit ein Gespür dafür entwickelt, wo sie
suchen müssen, um Schwachstellen und menschliches Fehlverhalten zu finden. Es
liegt auf der Hand, dass bei dieser Methode meist schlechte Nachrichten entstehen
und Mitarbeiter irgendwann denken, dass sie ohnehin immer wieder verlieren.
Eine Möglichkeit das zu verhindern ist es, Kontrollen durchzuführen, bei denen
Sie vorher wissen, dass alles in Ordnung ist. Gönnen Sie den Mitarbeitern auch
Mal das schöne Gefühl, bei nichts erwischt worden zu sein, auch wenn die
Versuchung noch so groß für Sie ist. Insbesondere sollten Sie das Lob für die
Einhaltung von Sicherheitsvorschriften ohne Einschränkungen gelten lassen und
es nicht durch einen nachgeschobenen Tadel relativieren. Auf diese Weise können
Sie die Mitarbeiter in dem bestärken, was schon gut läuft und sie ermuntern, nicht
nachzulassen: So übernehmen Sie die Rolle des Good Cop.
In vielen Fällen wird das eine Suche nach dem Trivialen sein. Nicht alles was
einem Sicherheitsprofi trivial erscheint, ist für Mitarbeiter und Chefs auch trivial.
Genauso wenig, wie die Meisten mit Absicht gegen Sicherheitsrichtlinien
verstoßen, halten sie sich bewusst daran. Gewisse Abläufe werden einfach so
erledigt, wie sie schon immer erledigt wurden. Nicht, weil sie so im
Search WWH ::




Custom Search