NCSC: Sechs Prinzipien für eine starke Cybersecurity-Kultur

LONDON (IT BOLTWISE) – Die Bedeutung einer starken Cybersecurity-Kultur wird immer offensichtlicher, da Unternehmen weltweit mit zunehmenden Bedrohungen konfrontiert sind. Die britische National Cyber Security Centre (NCSC) hat sechs zentrale Prinzipien vorgestellt, die Organisationen dabei unterstützen sollen, eine nachhaltige Sicherheitskultur zu etablieren.

Die britische National Cyber Security Centre (NCSC) hat in Zusammenarbeit mit Regierungs- und Branchenführern sechs grundlegende Prinzipien entwickelt, um Organisationen dabei zu helfen, starke Cybersecurity-Praktiken in ihren täglichen Betrieb zu integrieren. Diese Leitlinien zielen darauf ab, eine dauerhafte Sicherheitskultur zu schaffen, die sowohl technische Kontrollen als auch menschliches Verhalten priorisiert, um eine nachhaltige Cyber-Resilienz zu erreichen.

Anstatt sich ausschließlich auf Compliance oder isolierte Schulungsmaßnahmen zu konzentrieren, ermutigt der Ansatz des NCSC Organisationen dazu, eine Denkweise der Cyber-Hygiene, des Bewusstseins und der Verantwortung auf allen Ebenen zu fördern. Diese Kernprinzipien bieten einen flexiblen Rahmen zur Führung kultureller Transformationen und sind auf Organisationen jeder Größe und Branche zugeschnitten.

Cybersecurity-Kultur umfasst die kollektiven Werte, Verhaltensweisen und Normen, die beeinflussen, wie Einzelpersonen über Sicherheitsrisiken denken und darauf reagieren. Laut NCSC sind erfolgreiche Ergebnisse nicht nur das Ergebnis technologischer Abwehrmaßnahmen, sondern entstehen, wenn sichere Verhaltensweisen routinemäßig verstanden, gefördert und in der gesamten Belegschaft praktiziert werden.

Die Leitlinien sind besonders wertvoll für sowohl Cybersecurity-Profis als auch Führungsteams. Während Sicherheitsteams Strategien definieren und Kontrollen implementieren können, erfordert langfristiger kultureller Wandel die Unterstützung durch die Führungsebene – diejenigen, die Prioritäten setzen, Arbeitsplatznormen beeinflussen und sicheres Verhalten vorleben.

Zu den sechs Kernprinzipien des NCSC gehört, Cybersecurity als Ermöglicher zu rahmen. Organisationen sollten Cybersecurity mit ihrer Mission und ihren Zielen in Einklang bringen. Anstatt Sicherheit als Hindernis zu betrachten, müssen Führungskräfte sie als Funktion integrieren, die Produktivität, Innovation und Vertrauen unterstützt. Zum Beispiel kann die Darstellung sicherer Praktiken als wesentlich für den Schutz des Kundenvertrauens eine Ausrichtung zwischen operativen Zielen und Cyber-Hygiene schaffen.

Ein weiteres Prinzip ist die Förderung von Offenheit durch Vertrauen und Sicherheit. Psychologische Sicherheit ist der Schlüssel zur Förderung sicheren Verhaltens. Mitarbeiter sollten sich wohl fühlen, Vorfälle zu melden, Fehler zuzugeben oder Fragen zu stellen, ohne Angst vor Schuldzuweisungen. Organisationen, die offene Kommunikation und transparente Vorfallbehandlung fördern, sind agiler und reaktionsfähiger auf Bedrohungen.

Die Anpassung an Veränderungen zur Verbesserung der Resilienz ist ebenfalls entscheidend. Cyber-Bedrohungen entwickeln sich schnell, und die Sicherheit muss sich ebenfalls weiterentwickeln. Dieses Prinzip ermutigt Organisationen, Veränderungen als Chance für Fortschritt zu betrachten, nicht als Bedrohung. Ob es sich um die Aktualisierung von Richtlinien oder die Einführung neuer Tools handelt, der Prozess sollte die Zusammenarbeit zwischen Abteilungen einschließen.

Ein weiteres Prinzip ist die Anerkennung der Rolle sozialer Normen. Informelle Verhaltensweisen prägen oft die Sicherheit mehr als formelle Regeln. Soziale Normen – wie das Teilen von Passwörtern oder das Umgehen von Protokollen – können gut gemeinte Richtlinien untergraben, wenn sie unbeaufsichtigt bleiben. Das NCSC empfiehlt, sowohl hilfreiche als auch schädliche Normen zu identifizieren und positiven Peer-Einfluss zu nutzen, um sicheres Verhalten zu fördern.

Die Rolle der Führung bei kulturellem Wandel wird ebenfalls hervorgehoben. Führungskräfte müssen sicheres Verhalten vorleben, seinen Wert kommunizieren und Vertrauen aufbauen. Wenn Führungskräfte offen über vergangene Fehler oder Sicherheitsherausforderungen sprechen, normalisieren sie das Lernen und reduzieren Ängste.

Schließlich müssen Sicherheitsrichtlinien zugänglich und klar sein. Übermäßig komplexe oder veraltete Richtlinien verwirren nicht nur Mitarbeiter, sondern erhöhen auch die Verwundbarkeit. Richtlinien sollten in einfacher Sprache verfasst, in realen Szenarien getestet und regelmäßig aktualisiert werden.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!