Wir haben Verbesserungskatas eingesetzt, um unsere Prozesse zu verbessern. Wir haben einen ausführlichen Blog darüber geschrieben, aber das Wesentliche ist, dass man einen Prozess verbessert, indem man kleine, gezielte Änderungen vornimmt und misst, ob man seinem Ziel näher gekommen ist. Messungen sind in diesem Prozess unerlässlich; wenn Sie nicht messen, wissen Sie nicht, ob es etwas zu verbessern gibt oder ob Ihre Änderungen wirksam waren. Glücklicherweise ist es relativ einfach herauszufinden, was zu messen ist... normalerweise.
Warum Sicherheit?
Lassen Sie uns den Schwerpunkt auf die Sicherheit legen. Sicherheit ist wichtig. Das wissen wir alle. Wir wollen nicht, dass Ihr Name und Ihre Adresse im Internet veröffentlicht werden, und wir wollen nicht, dass Sie Ihre Prüfungsergebnisse verlieren. Mehr Sicherheit ist besser. Aber mehr Sicherheit bedeutet nicht unbedingt mehr Sicherheit. Wenn wir alles, was schief gehen kann, mit einem Alarm versehen und jede Bewegung in unseren Systemen überwachen würden, würden wir in ablenkenden Benachrichtigungen ertrinken. Wir hätten keine Zeit mehr, uns mit anderen Dingen zu beschäftigen. Wir müssen also entscheiden, was wir tun wollen. Wir müssen die Sicherheit messen, wenn wir unsere Sicherheitsprozesse verbessern wollen. Aber wie kann man Sicherheit messen?
Wege zur Messung der Sicherheit
Die Sicherheit lässt sich nicht so einfach messen, vor allem nicht innerhalb eines kurzen Zeitrahmens. Bei einigen Prozessen könnten Sie die Zeit messen, die ein Benutzer benötigt, um eine bestimmte Aufgabe auf einer Webseite zu erledigen, oder Sie können die Anzahl der Fragen zu einem bestimmten Thema zählen. Sie können dann Ihre Änderungen vornehmen und erneut messen, um zu sehen, wie sich die Zahlen verändert haben. Aber bei Sicherheitsprozessen gibt es einfach nicht genug Fluss durch den Prozess. Die Zahl der Datenschutzverletzungen beispielsweise ist nicht aussagekräftig. Wir können uns nicht von 0 aus verbessern, und keine Datenschutzverletzungen zu haben, bedeutet nicht, dass es keine Möglichkeit für Datenschutzverletzungen gibt, was eines der Dinge ist, an denen wir interessiert sind. Wir müssen also über andere Wege nachdenken.
Zählen von Sicherheitsfragen
Seien wir ehrlich, es gibt kein digitales System ohne Sicherheitsprobleme. Insbesondere ein System, das sich ständig verändert. Wenn diese Probleme gefunden werden, sollten sie gemeldet werden. Dies sind alle Berichte über Sicherheitsprobleme in einem System, von verfügbaren Daten, wo sie nicht sein sollten, bis zu jemandem, der seinen Schlüssel zum Büro verloren hat. Eine Möglichkeit der Messung besteht darin, diese Sicherheitsprobleme zu zählen.
Diese Metrik kann sehr nützlich sein, aber auch sehr trügerisch. Weniger Probleme zu haben, bedeutet nicht unbedingt weniger Probleme, sondern nur, dass man weniger finden kann. Es ist wie bei der Schatzsuche: Wenn man nicht im Sand gräbt, wird man nichts Interessantes finden, aber man kann nicht sagen, dass es keinen Schatz gibt. In gewisser Weise bedeutet die Erhöhung der Anzahl von Sicherheitsberichten, dass wir einen besseren Überblick über unseren Sicherheitsstatus erhalten. Das kann ein wichtiges Ziel sein, aber es ist nicht der richtige Weg, um Sicherheit zu messen.
Einhaltung von Gesetzen und Vorschriften
Statt durch Messungen wird die Sicherheit oft auf der Grundlage bestimmter Standards bewertet. In der EU ist dies in der Regel die GDPR, das strengste Sicherheitsgesetz der Welt. Sie beschreibt Regeln für den Umgang mit verschiedenen Arten von Daten. Damit wird ein Grundniveau an Sicherheit und Verantwortlichkeit geschaffen, insbesondere im Hinblick auf den Missbrauch von Daten.
Das ist natürlich wichtig. Wenn Sie GDPR-Probleme haben, müssen diese gelöst werden. Nicht nur aus rechtlichen Gründen, sondern weil wir uns um die Sicherheit unserer Kunden kümmern. Wir sind GDPR-konform und werden dies auch bleiben. Andererseits handelt es sich um eine Basislinie, nach der es noch viel Flexibilität und Möglichkeiten für Sicherheitsprobleme gibt.
Risikobewertungen
Vor einiger Zeit haben wir begonnen, uns mit der Norm ISO 27001 zu befassen. Die Norm beschreibt eine Arbeitsweise mit einem Informationssicherheitsmanagementsystem (ISMS) zur Überwachung und Behandlung der Informationssicherheit. Wir begannen also mit der Arbeit an diesem ISMS, weil es uns einen besseren Rahmen bieten würde, um zu sehen, wie wir es mit der Sicherheit halten.
Im Rahmen des ISMS haben wir begonnen, Sicherheitsrisikobewertungen durchzuführen. In einer Risikobewertungssitzung erörtern wir eine lange Liste möglicher Sicherheitsrisiken mit einer Gruppe von Mitarbeitern aus verschiedenen Abteilungen: einem Softwareingenieur, dem CTO und dem Datenschutzbeauftragten. Für jedes Risiko geben wir eine Bewertung für die Eintrittswahrscheinlichkeit und die Auswirkungen, wenn es eintritt. So erhalten wir eine Liste verschiedener möglicher Probleme, die verhindert oder gemildert werden müssen, sortiert nach ihrer Gefährdung, einer Kombination aus Eintrittswahrscheinlichkeit und Auswirkung.
Dies sieht zwar ähnlich aus wie das Zählen von Sicherheitsproblemen, weist aber einige interessante Unterschiede auf:
Sie haben eine Expositionsbewertung, die uns bei der Auswahl dessen hilft, was wir in Angriff nehmen müssen, um die größte Wirkung zu erzielen;
Die nächste Risikobewertung hat dieselbe Liste von Risiken, was bedeutet, dass wir den Fortschritt der Risikoexposition anstelle der Anzahl der Risiken vergleichen können.
Das macht die Messungen der Risikobewertungen viel einfacher. Wir haben jetzt eine strukturierte Methode, um die Sicherheit von Easy LMS zu prüfen. Wir füllen die Risikobewertung mit dem Wissen, das wir aus Berichten über Sicherheitsprobleme und unseren täglichen Beobachtungen gewinnen, und verbessern dann Schritt für Schritt.
Zertifizierung
Es gibt ein Problem bei der Messung anhand der Risikobewertung: Sie ist möglicherweise nicht ganz objektiv. Wir können nur berichten, was wir sehen, und sie auf der Grundlage unserer eigenen Erfahrungen und Gedanken zu dem Thema bewerten. Dadurch entsteht im Grunde eine Blase mit dem, was wir wissen und woran wir arbeiten, aber es zeigt uns nicht, was außerhalb der Blase ist.
Daher haben wir beschlossen, die ISO 27001-Norm als Ganzes weiterzuführen, die auch ein Verfahren für die Zertifizierung beschreibt. Eine externe Partei wird uns hinsichtlich unserer Umsetzung von Sicherheitsmaßnahmen und des ISMS bewerten; im Grunde eine Überprüfung, um zu sehen, ob andere zustimmen, dass wir dort sind, wo wir denken, dass wir sind.
Wir arbeiten also hart daran, uns auf diesen Zertifizierungsprozess vorzubereiten, und wir hoffen, dass wir uns irgendwann im Jahr 2023 ISO 27001-zertifiziert nennen können!
Wie wir Sicherheitsmaßnahmen umsetzen, die Bestand haben
Jetzt haben wir einen Prozess zur Verbesserung unserer Sicherheit. Wir haben die Dinge ausgewählt, die wir verbessern müssen, und begonnen, sie in unserem Unternehmen umzusetzen. Allerdings sind wir noch nicht ganz am Ziel. Wir müssen auch sicherstellen, dass die Umsetzung erfolgreich sein wird.
Die Sache ist die: Jeder weiß, dass Sicherheit wichtig ist, aber die Leute arbeiten nicht gerne daran. Es kann schnell wie bei den Steuern werden: Es sollte getan werden, aber es ist eine lästige Aufgabe. Wie können wir dafür sorgen, dass dies nicht zu einem Problem wird?
Beseitigung von Hindernissen
Der Hauptgrund, warum Sicherheitsmaßnahmen nicht funktionieren, ist, dass die Menschen sie umgehen. Das Problem liegt bei den Maßnahmen, nicht bei den Menschen. Es bedeutet, dass es einfach bequemer ist, Umgehungen zu schaffen, als die Regeln und Verfahren tatsächlich zu befolgen. Der Prozess hat zu viele Hindernisse zu überwinden, und es liegt in unserer Natur, den Weg des geringsten Widerstands zu gehen. Das kann katastrophale Folgen haben.
Ein extremes Beispiel ist die Katastrophe von Bhopal im Jahr 1984, bei der mehrere Sicherheitsmaßnahmen vernachlässigt wurden. Eine Stadt wurde mit Giftgas überflutet, wobei Tausende starben und mehr als eine halbe Million Menschen verletzt wurden. Natürlich hätten Sicherheitsvorfälle bei der Easy LMS nicht diese extremen Auswirkungen, aber sie zeigen, wie leicht Sicherheitsmaßnahmen umgangen werden können, trotz der möglichen Folgen.
Am besten ist es, die Einhaltung der Sicherheitsverfahren so einfach wie möglich zu gestalten. Genauer gesagt, versuchen Sie es einfacher zu machen, als die Maßnahmen zu umgehen. Es kann einige zusätzliche Schritte geben, die aus Sicherheitsgründen erforderlich sind, aber nicht zu viele. Es sollte keine zusätzlichen Wartezeiten geben. Die Sicherheitsverfahren sollten Ihre Mitarbeiter nicht von ihrer Arbeit abhalten, sondern sie sollten ihnen zeigen, wie sie diese sicherer erledigen können.
Sicherheitsverfahren sollten Ihre Mitarbeiter nicht von ihrer Arbeit abhalten; sie sollten ihnen zeigen, wie sie diese sicherer erledigen können.
Nehmen wir das Beispiel der Meldung eines Sicherheitsproblems. Nehmen wir an, dies muss über ein benutzerdefiniertes Ablagesystem erfolgen, in dem viele spezifische Angaben gesucht und ausgefüllt werden müssen, von denen die meisten ohnehin nicht verwendet werden, was den Mitarbeiter 15 Minuten seiner Zeit kostet. Das mag anfangs nützlich sein, ist aber nicht nachhaltig. Es ist einfacher, es später zu tun und es zu vergessen. Nehmen Sie nun ein anderes System, bei dem ein Mitarbeiter eine einfache Nachricht mit einer kurzen Beschreibung des Problems an Slack senden kann, und das Problem wird bearbeitet. Es sind zwar immer noch einige Schritte für den Mitarbeiter erforderlich, aber es ist sehr einfach und wenig aufwändig. Und was vielleicht noch wichtiger ist: Der Mitarbeiter ist nicht mehr für die Lösung des Problems verantwortlich. Er sendet die Nachricht und kann seinen Arbeitstag fortsetzen, was viel einfacher ist, als sich mit den unvermeidlichen Folgen eines Sicherheitsvorfalls auseinanderzusetzen. Anstatt also die Mitarbeiter zu zwingen, ineffizient zu arbeiten, und ihnen dann die Schuld für Fehler zu geben, schaut man sich an, was daran ineffizient ist, und verbessert es dann, so dass es einfacher wird.
Natürlich gibt es Maßnahmen, die für mehr Sicherheit sorgen, aber die Hindernisse, die Ihren Mitarbeitern in den Weg gelegt werden, erschweren ihre Arbeit unnötig. Viele dieser Hindernisse können durch Automatisierung oder einfache Delegation von Aufgaben beseitigt werden.
Sicherheit für Menschen
Wir haben bereits über die Sicherheit von Menschen gesprochen, wenn es darum geht, Fehler zu machen. Wir können dies auch auf die Sicherheit anwenden. Die Mitarbeiter müssen in der Lage sein, über Sicherheit zu sprechen, Sicherheitsprobleme zu erwähnen und das Verhalten der anderen zu korrigieren, ohne dass dies negative Konsequenzen hat. Wenn die Mitarbeiter das Gefühl haben, dass sie nicht über Sicherheit sprechen können oder nicht wissen, wo sie dies tun sollen, werden die Sicherheitsmaßnahmen für sie ein Hindernis darstellen. Jeder Mitarbeiter hat sein eigenes Fachwissen und seine eigene Erfahrung in seinem Bereich, so dass er weiß, womit er es zu tun hat.
Menschen müssen in der Lage sein, über Sicherheit zu sprechen, Sicherheitsprobleme zu erwähnen und das Verhalten der anderen zu korrigieren, ohne dass dies negative Konsequenzen hat.
Sie können helfen, indem sie Maßnahmen für bestimmte Sicherheitsprobleme vorschlagen, sie können Feedback zu bereits umgesetzten Maßnahmen geben, und sie können Sie auf Hindernisse hinweisen, die sich ihnen in den Weg stellen. Als wir also hörten, dass jemand seine Schlüssel verloren hatte oder dass der Papierkram für die Organisation eines Kundengesprächs zu viel Arbeit war, waren wir nicht wütend oder abweisend. Wir waren froh, dass die Person mit dieser Information zu uns kam. Wenn Sie dieses Feedback nicht als wertvoll ansehen oder nichts daraus machen, verlieren Sie das Interesse Ihrer Mitarbeiter an einem sicheren Arbeitsplatz.
Weiter verbessern
Wir haben bereits über die Verbesserung unserer Informationssicherheit gesprochen, aber es ist genauso wichtig, die Sicherheitsprozesse für unsere Mitarbeiter zu verbessern. Wenn Sie nicht aktiv auf Ihre Mitarbeiter hören und ändern, was nicht funktioniert, wird die Sicherheitsmaßnahme irgendwann nicht mehr funktionieren. Die Mitarbeiter werden sich, wie das Unternehmen selbst, ständig verändern. Easy LMS wird sich ständig verändern, und das gilt auch für unsere Sicherheitsverfahren, nicht nur um sie zu verbessern, sondern auch um sie einfacher zu machen.
Lesen Sie weitere Blogbeiträge
Caroline
Unsere Nebenbeschäftigungsleistungen erklärt
Das Gehalt ist zwar ein wichtiger Faktor bei der Wahl eines Arbeitsplatzes, aber vergessen Sie nicht die Nebenleistungen, die damit verbunden sind. Die Nebenleistungen können den Deal wirklich versüßen! Und wir glauben, dass wir ein fantastisches Paket geschnürt haben. Tauchen Sie ein in all unsere wunderbaren Extras!
Mehr erfahren
Caroline
Arbeiten und wachsen
Die Arbeit bei Easy LMS lohnt sich! Natürlich bieten wir ein konkurrenzfähiges Gehalt, Zuschläge für Reisekosten und Heimarbeit sowie 25 bezahlte Urlaubstage pro Jahr. Aber wir sind auch stolz auf die Extras, dank derer du dich wohl fühlst und dein Bestes geben kannst. Dein körperliches und geistiges Wohlbefinden steht bei uns an erster Stelle! Denn unsere Mitarbeiter bilden das Rückgrat unseres Unternehmens.
Mehr erfahren
Caroline
Ihr erster Monat
Wenn man eine neue Stelle hat, freut man sich darauf, loszulegen! Gleichzeitig ist man aber auch immer ein wenig nervös. Was erwartet Sie? Wie werden Ihre ersten Wochen aussehen? Und wie schnell können Sie einen echten Mehrwert schaffen? Letzteres ist unser Schwerpunkt. Unser übersichtliches Onboarding-Programm für Software-Ingenieure hilft Ihnen, unser Unternehmen, Ihre Kollegen und Ihre Aufgaben in kürzester Zeit kennen zu lernen! Erleben Sie, wie wir Ihnen einen Kickstart ermöglichen!
Mehr erfahren