Start Empfohlen Warum der Faktor Mensch der Schlüssel zur Cybersicherheit ist

Warum der Faktor Mensch der Schlüssel zur Cybersicherheit ist [Q&A]

5
0


Endpunktsicherheit

Es gibt viele Dinge zu beachten, wenn es darum geht, Systeme sicher zu machen, aber eine Sache, die oft übersehen wird, ist der menschliche Blickwinkel.

George Finney, CISO, CEO und Gründer von Bewusste Sicherheit glaubt, dass Cybersicherheit in erster Linie ein Problem der Menschen ist – Menschen sind diejenigen, die Prozesse schreiben und anwenden, und Menschen sind diejenigen, die Technologie entwickeln und verwenden. Kein Wunder also, dass Menschen hinter etwa 95 Prozent der Cybersicherheitsvorfälle stecken.

In seinem neuen Buch Gut bewusst: Meistern Sie die neun Cybersicherheitsgewohnheiten, um Ihre Zukunft zu schützen, untersucht Finney die Sicherheitsherausforderungen der Welt anhand von Erkenntnissen aus Psychologie, Neurowissenschaften, Geschichte und Wirtschaft. Wir haben mit ihm gesprochen, um mehr zu erfahren.

BN: Warum werden Menschen immer wieder Opfer von Phishing und anderen Social-Engineering-Betrügereien?

GF: Die kurze Antwort ist, dass Phishing und Social Engineering billig und einfach sind und Cyberkriminelle schnell Profit daraus machen können. Jedes Jahr sehen wir einen enormen Anstieg des Phishing-Anteils. Seit Beginn der Pandemie hat Phishing um das 600-fache zugenommen.

Sie benötigen nicht unbedingt eine Menge Fähigkeiten, um eine Phishing-Nachricht zu senden. Fast jede Datenschutzverletzung beinhaltet die Offenlegung von E-Mail-Adressen, auch wenn die Sozialversicherungsnummern nicht durchgesickert sind. Hacker haben jetzt Zugriff auf Milliarden von E-Mails und können mit nur geringem Aufwand Phishing-Angriffe anpassen, die die meisten Schutzmaßnahmen umgehen.

BN: Liegt das zum Teil an Faulheit?

GF: Es ist eigentlich ein großes Ärgernis von mir, wenn die Leute oft sagen, dass „Menschen das schwächste Glied sind“. Es ist leicht, mit dem Finger auf faule Leute zu zeigen und das tun wir, denke ich, weil die Realität wirklich kompliziert ist. Aber wir sind es unseren Gemeinden schuldig, sich die Zeit zu nehmen, herauszufinden, was wirklich vor sich geht, um sie zu schützen.

Die Realität ist, dass Menschen die größte Angriffsfläche in unserer Umgebung sind. Unsere Mitarbeiter sind das größte Ziel, und wir sind alle Menschen und werden vielleicht nie perfekt sein, aber wir können besser werden. Wir möchten mit unseren Mitarbeitern zusammenarbeiten, um diese Angriffsfläche zu reduzieren. Und wir wissen aus der Forschung, dass die erfolgreichste Strategie, Menschen zu helfen, Dinge nicht zu beschuldigen oder sie faul zu nennen, wenn sie Fehler machen.

In meinem Buch habe ich einige der erfolgreichsten Führungskräfte im Bereich Cybersicherheit interviewt. Und der Ansatz, der für sie am besten funktioniert, ist, wenn sie ihren Mitarbeitern zeigen, dass sie an sie glauben und dass sie etwas bewegen können. Sie verwenden keine Schuldzuweisungen oder Angst, weil es demotivierend ist. Ihre Leute als faul zu bezeichnen, inspiriert sie nicht dazu, Ihnen das Gegenteil zu beweisen, sondern lässt sie aufgeben.

BN: Wie wichtig ist es für die Industrie, die Psychologie davon zu verstehen?

GF: Ich denke, die Bösen wie Social Engineers und Phisher verstehen Psychologie sehr gut, auch weil ihr Erfolg in ihrem Job dies erfordert. Ich denke, um unsere Benutzer erfolgreich zu schützen, müssen wir verstehen, wie Psychologie und Neurowissenschaften noch besser sind als die Bösen, um unsere Benutzer in die Lage zu versetzen, sich selbst zu schützen.
Wir sagen, dass Sicherheit aus drei Teilen besteht: Menschen, Prozessen und Technologie. Aber die Menschen sind diejenigen, die Technologie bauen und konfigurieren. Menschen sind diejenigen, die Prozesse schreiben und ihnen folgen. Ich denke, wir konzentrieren uns auf Technologie, um unsere Probleme zu lösen, aber um besser zu werden, müssen wir auch unsere Menschen verstehen und einbeziehen.

In meinem Buch spreche ich darüber, wie wir verstehen müssen, WARUM Menschen Dinge mit Psychologie tun. Wir müssen die Neurowissenschaften verstehen, weil unser Gehirn mit seinen eigenen Vorurteilen und blinden Flecken ausgestattet ist. Wir müssen Verhaltensökonomie und Spieltheorie nutzen, um zu verstehen, wie Menschen Entscheidungen treffen, und sie in die Lage zu versetzen, bessere Entscheidungen zu treffen. Und wir müssen die Theorie des menschlichen Lernens anwenden, um die Lücke zu schließen, um sie dort zu treffen, wo sie sind, um alle Änderungen zu erleichtern, die wir vornehmen müssen.

BN: Ist eine bessere Aus- und Weiterbildung rund um die Risiken die Antwort?

GF: In einer Sache sind sich sowohl unsere Benutzer als auch die Sicherheitsleute einig: Wir sind frustriert von Schulungen zum Sicherheitsbewusstsein. Schulungen sind das Größte, worüber sich unsere Benutzer beschweren, weil sie das Gefühl haben, dass es Zeitverschwendung ist. Sicherheitsexperten sind frustriert, weil sie das Gefühl haben, dass Schulungen nicht funktionieren. Ich denke, sie haben beide recht.

Nehmen wir an, ich habe meiner Frau zum Muttertag ein Laufband gekauft. Erstens wäre sie wahrscheinlich verärgert, weil es ihr das Gefühl geben würde, dass ich etwas über ihr Gewicht sagen würde, was eine schlechte Idee wäre. Selbst wenn sie ein Laufband haben wollte, würde es die Situation nur noch schlimmer machen, wenn ich ihr das Handbuch aushändige und sie später beschuldigte, es nie benutzt zu haben. Stattdessen wäre es wahrscheinlich besser, wenn ich ihr helfen würde, sich Zeit zu verschaffen, indem ich dem Kind beim Training zusehe.

Wir wissen, dass etwa 50 Prozent aller menschlichen Verhaltensweisen auf Gewohnheiten beruhen. In meinem Buch argumentiere ich, dass wir es zur Gewohnheit machen müssen, um echte Veränderungen in der Cybersicherheit zu bewirken. Anstatt unseren Benutzern nur Videos oder Newsletter zur Verfügung zu stellen, müssen wir ihnen helfen, unsere Sicherheitsschulungen so zu gestalten, dass sie in ihr Leben passen.

BN: Was können Unternehmen tun, um Fortschritte bei der Verbesserung der Sicherheitsgewohnheiten zu erzielen?

GF: Es gab in letzter Zeit eine Reihe erstaunlicher Bücher über Gewohnheiten. Da ist natürlich mein Buch… und wenn Sie es vollständig gelesen haben, schreiben Sie bitte eine Rezension… aber ich wurde von Charles Duhiggs beeinflusst Macht der Gewohnheit, oder James Clears Atomare Gewohnheiten, oder BJ Foggs Winzige Gewohnheiten. Sie mögen unterschiedliche Terminologien verwenden, aber sie sind sich alle einig, dass es eine mentale Gewohnheitsschleife gibt, die wir alle durchlaufen. Der erste Schritt ist die Aufforderung, das Verhalten zu starten, dann das Verhalten selbst, gefolgt von einer Belohnung, die Endorphine freisetzt, um Ihr Gehirn später daran zu erinnern, dass Sie dieses Verhalten wahrscheinlich wiederholen möchten, wodurch eine Schleife entsteht.

Um bei jeder Verhaltensänderung erfolgreich zu sein, müssen wir es einfach machen. Wir müssen die Hindernisse beseitigen, die Menschen davon abhalten, diese neuen Verhaltensweisen zu praktizieren. Sie haben vielleicht schon den Rat gehört, dass Sie, wenn Sie mit dem Laufen beginnen möchten, in Ihrer Trainingskleidung schlafen gehen und Ihre Tennisschuhe direkt neben dem Bett haben sollten. Dies macht die neue Gewohnheit, die Sie aufbauen möchten, einfach.
Dieser Rat funktioniert wirklich für die Leute, er ist nicht verurteilend… wenn Sie ihn nicht tun, gibt es kein moralisches Versagen. Es ist einfach direkt und spezifisch. Dies ist das Erfolgsrezept, das wir aufbauen sollten, um den Menschen, mit denen wir zusammenarbeiten, zu helfen, besser zu werden.

Ich denke, es gibt neun verschiedene Kategorien von Cybersicherheitsgewohnheiten. Wir alle haben unsere eigenen Stärken, wenn es um Sicherheit geht, und wir können uns zunächst auf unsere Stärken konzentrieren, um es einfach zu machen. Und anstatt nur unsere Schwächen zu überwinden, können wir als Team mit sich ergänzenden Stärken zusammenarbeiten, um als Gemeinschaft sicher zu werden.

Bildnachweis: Rawpixel.com/Shutterstock



Vorheriger ArtikelDie besten Windows 10-Apps dieser Woche
Nächster ArtikelForscher finden zwei Android-Malware-Kampagnen mit über 250 Millionen Downloads

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein