Neue Daten könnten CISOs helfen, den Wert einer starken Sicherheitskultur zu quantifizieren

Cyber Security News

Phishing-Warnung in Google Chrome beim Besuch einer Website, die als Phishing-Website erkannt wurde. (Christiaan Colen/CC BY-SA 2.0)

Der Aufbau eines Sicherheitstrainingsprogramms zur Entwicklung einer starken Infosec-Kultur erfordert Zeit und Geld, und Chief Information Security Officers versuchen häufig, eine solche Investition zu rechtfertigen, indem sie den Return on Investment und andere Erfolgskennzahlen anführen.

Diese Woche haben KnowBe4-Forscher die Ergebnisse einer umfassenden Studie veröffentlicht, die das Verhalten und die Sicherheitskultur von mehr als 97.000 Mitarbeitern in 1.115 Unternehmen weltweit untersucht hat.

Ziel war es, den Zusammenhang zwischen der Implementierung einer starken Sicherheitskultur und der Reduzierung unerwünschter Phishing-Verhaltensweisen wie dem Klicken auf Links und der Weitergabe von Zugangsdaten zu quantifizieren. Offensichtlich besteht eine umgekehrt proportionale Beziehung: Je besser die Ausbildung und das Bewusstsein, desto weniger riskante Verhaltensweisen. Aber um wie viel?

Jetzt wissen wir es: KnowBe4 fand heraus, dass Mitarbeiter in Unternehmen mit einer guten Sicherheitskultur/-schulung 52-mal seltener riskante Verhaltensweisen beim Teilen von Zugangsdaten praktizieren als Mitarbeiter in Unternehmen mit einer schlechten Sicherheitskultur/-schulung. KnowBe4 behauptet, dass seine Studie die erste ist, die diesen Zusammenhang vollständig quantifiziert. Die Forscher haben die Daten zusammengestellt, indem sie das Verhalten der Mitarbeiter mit einer Phishing-Bewertungsplattform gemessen und diese Ergebnisse dann mit den Antworten aus einer wissenschaftlichen Umfrage zur Sicherheitskultur kombiniert haben.

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/02/Screen-Shot-2021-02-26-at-2.41.49-PM-1024x529.png]Im Bild: eine Grafik, die die Ergebnisse der Studie darstellt. (Bild entnommen aus dem KnowBe4-Bericht)

“Mein Eindruck ist, dass viele verschiedene Organisationen versucht haben, dies auf unterschiedliche Weise zu messen”, sagt Caroline Wong, Chief Strategy Officer bei Cobalt.io (Beispiel: der 2020 Global Employee Risk Insights Report von Elevate Security). Aber “ich denke, je mehr verwertbare Daten wir als Branche haben, desto besser.”

SC fragte mehrere Experten, ob der Besitz solcher Daten für CISOs ausreichen könnte, um den Wert von Security-Awareness-Trainings gegenüber dem CEO, dem Vorstand und anderen wichtigen Geschäftsführern zu rechtfertigen.

Joanna Huisman, Senior Vice President of Strategic Insights and Research bei KnowBe4, stimmte dem zu und erklärte, dass es drei Schlüssel zur Etablierung eines Security-Awareness-Programms in Ihrem Unternehmen gibt: “Sicherstellen, dass die Führungskräfte die Relevanz und die Auswirkungen verstehen, wie sich das Programm positiv auf ihre spezifischen Geschäftsziele auswirkt, das Programm so gestalten, dass es für alle Geschäftsziele von übergeordneter Bedeutung ist, und die Programmmetriken als Gesamtkatalysator für das Risikomanagement verpacken.”

Tom Pendergast, Chief Learning Officer bei MediaPro, sagte, die Studie sei ein “großer Schritt nach vorn”, da sie nicht nur darauf abziele, den Wert einer einzelnen Security-Awareness-Lösung wie Anti-Phishing-Simulationen zu rechtfertigen, sondern stattdessen dafür plädiere, Security Awareness umfassend und ganzheitlich im gesamten Unternehmen zu praktizieren.

“Damit liefert die Studie eine starke Begründung für die systemischeren Trainings- und Awareness-Programme, die führende Analysten und Anbieter empfehlen”, so Pendergast. “Kurz gesagt, diese Studie zeigt, dass Sie sich kontinuierlich auf die Verbesserung Ihrer Sicherheitskultur konzentrieren müssen, wenn Sie es mit der Reduzierung menschlicher Risiken ernst meinen. Dies ist ein Beweis, den Sie Ihrem CISO vorlegen können, um die nötigen Mittel zu erhalten.”

Aber das ist nur ein Anfang. Experten sagen, dass es noch mehr Datenpunkte gibt, die Sicherheitsexperten potenziell nutzen können, um die Vorteile einer starken Sicherheitskultur zu demonstrieren.

Obwohl Pendergast beispielsweise sagt, dass der Bericht einen ganzheitlichen Ansatz für eine Sicherheitskultur befürwortet, merkt er an, dass ein Großteil der Daten aus einer Anti-Phishing-Übung stammt, bei der es um so viel mehr geht als um Cyber-Hygiene.

Huisman hatte auch einige Ratschläge für CISOs, die versuchen, sich durchzusetzen. Konzentrieren Sie sich zunächst auf einige wenige kritische Messgrößen, die sinnvoll und nützlich sind”, sagte sie. Ein guter Anfang könnte die Untersuchung der Korrelation zwischen der Absolvierung von Security-Awareness-Trainings und Mitarbeitern mit hohen Prozentsätzen von Phishing-Simulations-Klickraten sein.

“Schauen Sie sich Mitarbeiter an, die ihre Schulungen nicht abgeschlossen haben und einen hohen Prozentsatz an Phishing-Klicks aufweisen, um ein potenzielles Risiko zu identifizieren”, so Huisman. “Bewerten Sie, ob Ihr Publikum einen Phish erkennen kann, und arbeiten Sie mit der IT-Abteilung zusammen, um zu sehen, ob sie verdächtige E-Mails entweder über den Phishing-Alarm-Button oder über andere kommunizierte Maßnahmen melden. Die IT-Abteilung kann Metriken über die Häufigkeit der Meldungen in einer Post-Training-Umgebung zur Verfügung stellen, damit Sie diese mit den Benchmarks vor dem Training vergleichen können.”

Dennoch sagte Pendergast, dass er in Zukunft gerne Daten untersuchen würde, die über die Ergebnisse von Phishing-Simulationen hinausgehen. “Wir stützen uns auf Phishing, weil wir die Daten haben, aber wir müssen herausfinden, wie wir andere Verhaltensweisen identifizieren können, die mit dem menschlichen Risiko verbunden sind, wenn wir die ganze Geschichte erzählen wollen”, bemerkte er.

Pendergast sagte, dass die Forscher, um ein vollständigeres Bild zu erhalten, zum Beispiel die Ergebnisse von SebDB (von CybSafe) einbeziehen sollten, einer Datenbank für Cybersecurity-Verhalten, die Sicherheitsverhalten mit risikobezogenen Ergebnissen abbildet und von Sicherheitsexperten und Akademikern auf der ganzen Welt gepflegt wird.

Aber selbst mit mehr Daten sind “Zahlen allein nicht genug”, warnte Wong. “Sie müssen durch die Linse der Risiko- und Sicherheitslage jeder einzelnen Organisation sowie der Geschäftsziele betrachtet werden.”

“Ich denke, wenn es darum geht, Führungskräfte von Investitionen in Sicherheitsinitiativen zu überzeugen, geht es letztlich darum, das Risikomanagement auf einfache Weise so zu erklären, dass es sich auf das spezifische Geschäft bezieht”, erklärte sie.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com