Die Macht des Geschichtenerzählens ist nichts, was man normalerweise mit dem hochtechnischen Bereich der Cybersicherheit in Verbindung bringen würde, aber Heather Hinton, CISO von RingCentral, ist vom Gegenteil überzeugt.
Cybersicherheit ist mehr als nur Einsen und Nullen. In Heathers Worten geht es in diesem Bereich um Leidenschaft und Problemlösung. Als Kinder haben wir Moral und soziale Fähigkeiten durch Fabeln und Geschichten gelernt, und als Erwachsene sind wir nicht anders. Geschichten sind der beste Weg, um Komplexität zu verdichten und Menschen zu motivieren, gemeinsam Probleme zu lösen.
In diesem Interview erklärt Hinton, wie Unternehmen das Geschichtenerzählen nutzen können, um Mitarbeiter zu engagieren und das Bewusstsein für Cybersicherheit zu schärfen.
Wie können Unternehmen Cybersicherheit zugänglich machen?
Wenn wir über die Beweise sprechen, die zeigen, dass die Menschen die bewährten Praktiken der Cybersicherheit nicht annehmen, liegt das daran, dass wir (Sicherheitsverantwortliche) keine Inhalte erstellen, mit denen die Menschen sofort etwas anfangen können.
Es geht darum, den Blickwinkel von der Technologie abzuwenden und Szenarien in einen Kontext zu stellen, den die Menschen verstehen – eine Geschichte zu erzählen, was passieren könnte.
Diesen Monat haben wir zum Beispiel einen Wettbewerb veranstaltet. Mein Team hat witzige Videos erstellt, in denen typische Best Practices der Cybersicherheit dargestellt werden. Einige von ihnen sind wirklich lustig. Wir haben Videos über die Wiederverwendung von Passwörtern, die gemeinsame Nutzung von USB, kompromittierte E-Mails und vieles mehr erstellt. Wir machen das unter anderem deshalb, damit die Leute sich an eine Geschichte erinnern können, wenn sie eine ähnliche Situation erleben. Wir teilen die Videos virtuell in den internen Gruppen von RingCentral und lassen die Leute für ihren Favoriten abstimmen, wobei sie die Chance haben, einen Preis zu gewinnen.
Gibt es noch andere Ratschläge, die Sie Unternehmensleitern geben würden?
In einer Abwandlung des Geschichtenerzählens glaube ich an Feuerübungen. In der Schule macht man Brandschutzübungen, und jeder lernt, wie man das Gebäude verlässt. Man muss sehr, sehr vorsichtig sein, wie man es macht. Interne Brandschutzübungen, die über das Incident Response Team hinausgehen, sind eine großartige Möglichkeit, die Menschen einzubeziehen. Auch hier muss man vorsichtig sein, denn es könnte eine falsche Botschaft vermittelt werden.
Bei der Cybersicherheit ist es so, dass jeder gerne erzählt, wann er in einen Vorfall verwickelt war. Wenn Cybersicherheitsexperten zusammenkommen, wird daraus ein Wettbewerb, wer den „spannendsten“ Vorfall gelöst hat. Jeder tauscht sich darüber aus, was ihm am meisten Angst gemacht hat und so weiter. Es sollten mehr Leute darüber berichten, wie sie geholfen haben, was sie gesehen haben und was sie gelernt haben. Auch hier geht es darum, die Geschichte mehr Menschen zugänglich zu machen.
Viele Sicherheitsverantwortliche tun dies in ihren Unternehmen durch Aktivitäten wie Social-Engineering-Übungen.
Was sind Social-Engineering-Übungen?
Es gibt eine Serie namens White Collar. Sie basiert sehr lose auf einem berühmten Betrüger, der vom FBI geschnappt und ins Gefängnis gesteckt wurde. Das FBI macht ihn schließlich zum Berater, um ähnliche Verbrecher zu fangen. Seine Rolle dient einem ähnlichen Zweck, wie wir ihn heute bei ethischen Hackern sehen. Es geht nur darum, Schwachstellen zu finden. In White Collar erreicht der Ex-Häftling dies durch Social Engineering. In einer Folge geht die Hauptfigur in eine Bank und stiehlt den Ausweis eines Angestellten, damit er das zugehörige Annäherungsteil benutzen kann, um sich durch das Gebäude zu bewegen. Das ist Social Engineering für Sie.
Das ist eine Möglichkeit, die Menschen dazu zu bringen, über Risiken in der Realität nachzudenken, denn es passiert immer dann etwas, wenn man nicht auf der Hut ist.
Das Problem bei der Cybersicherheit ist, dass wir immer zu 100 % richtig liegen müssen. Unsere Angreifer müssen nur einmal richtig liegen. Die Chancen stehen zu ihren Gunsten, nicht zu meinen.
Woher nehmen Sie Ihre Ideen, um das Bewusstsein für Cybersicherheit zu stärken?
Ich mag die Inhalte, die das GCHQ zur Verfügung stellt – für mich ist es der Goldstandard, weil es so zugänglich ist. Zum Beispiel gab es im letzten Monat eine großartige Serie über Cybersicherheit für die Landwirtschaft. Die Twitter-Seite, die Webseiten und die Programme sind so unterschiedlich und ansprechend. Die CISA in den USA ist der andere Ort, an dem ich mich umschaue. Beide Organisationen haben sehr kluge Leute, die sich der Sensibilisierung für diesen Bereich widmen, und sie sehen alles Mögliche, was ich nicht sehe.
Gibt es Pläne für Cybersicherheitsschulungen bei RingCentral über diesen Monat hinaus?
In ein paar Wochen erscheint unser Newsletter zur Cybersicherheit mit vielen Ressourcen für RingCentral-Mitarbeiter. Ich spiele mit einigen anderen Ideen, die andere in meinem Bereich vorgeschlagen haben (ein Buchclub ist eine davon).
Ursprünglich veröffentlicht 29 Okt, 2021
