Zuhören, Vertrauen und Überprüfen

Security

19.07.2021
David Mantock, Chief Information Security Officer

Einer der vielen Vorteile der Arbeit als Spezialist in der Cyber-Security ist die Vielfalt der Menschen, mit welchen man zusammenarbeiten darf. Wenn Sie nach einem effektiven Sicherheitskonzept streben, welches das Unternehmen unterstützt und sicherstellen möchten, dass die Geschäftsziele auf sichere Weise erreicht werden, ist dies ein wichtiger Faktor.

Um eine gute Zusammenarbeit zu gewährleisten, muss eine solide Vertrauensbasis zwischen den verschiedenen Beteiligten vorhanden sein. Vertrauen wird durch Transparenz aufgebaut und auch durch klar definierte Erwartungen. Ein notwendiges Werkzeug in der Wirtschaft ist der sogenannte Audit-Prozess, in der Cyber-Security in Zeiten wie diesen sogar noch wichtiger. Leider entstehen während des Audit-Prozesses oft diverse Widerstände, wie bei einem Zahnarztbesuch verdunkeln die Befürchtungen und Ängste oft die Vorteile oder verdecken diese sogar völlig.

Meine Frage ist also:  In was vertrauen wir? Ist Vorbeugen besser als Heilen oder würden wir lieber unsere Zähne ziehen lassen, als sie von vornherein zu schützen? Wenn Sie gerne Zähne ohne Betäubung ziehen lassen, ist dieser Artikel wohl eher nichts für Sie. Wenn Sie hingegen der Typ sind, der Schmerzen und Unannehmlichkeiten vermeiden möchten, lesen Sie bitte weiter.

Jeder weiß, wie Audits funktionieren, aber oft wird vergessen, dass einige Grundregeln vor dem Audit den Prozess wirklich glätten könnten. Konkret geht es dabei um die Handhabung von Erwartungen. Im Zusammenhang mit Audits ist also das Credo:

ZUHÖREN, VERTRAUEN und VERIFIZIEREN.

"Wenn Du sprichst wiederholst Du nur was Du schon weisst, wenn Du aber zuhörst, kannst Du Neues lernen" Dalai Lama

Die Klarheit und Transparenz, die für den Aufbau von Vertrauen so wichtig sind, müssen frühzeitig geschaffen werden.

Das haben mich meine Erfahrung und Professor Google gelehrt:

- Kommunizieren Sie den Sinn und Nutzen des Audits klar vorab, z. B. "Dieses Audit wird zeigen, was für einen guten Job Abteilung x macht, und mit Ihrer Mitarbeit kann dies noch besser werden!"

5 Dinge, die Sie nicht tun sollten:

  • Den Boten erschiessen. Überwinden Sie die natürliche Versuchung, die Auditoren und Autoren Prüfberichts als Feinde zu sehen, die es zu bekämpfen und zu widerlegen gilt.
  • Die Audit-Ergebnisse ignorieren oder die Reaktionszeit verzögern.
  • Security Befunde verharmlosen
  • Einfach alle Feststellungen akzeptieren und weitermachen, ohne die Schwachstellen wirklich zu verstehen oder entsprechend zu beheben.
  • Den Ergebnissen von Cyber-Security-Audits eine niedrige Priorität einräumen

- 5 Dinge, die Sie tun sollten:

o    Sehen Sie die positive Seite von Audits, sozusagen als Gesundheitscheck.
      Sehen Sie Audit-Ergebnisse als Teil
o    eines gesunden Cyber-Ökosystems.
o    Arbeiten Sie eng mit den Auditoren zusammen.
o    Bauen Sie langfristige, positive Beziehungen zu internen und externen
      Auditoren auf, um Schwachstellen zu verbessern.
o    Erstellen Sie einen Audit-Aktionsplan
o    Lernen Sie von den Audit-Erfahrungen anderer 

Ich verspreche Ihnen, dass diese Richtlinien, wenn sie gewissenhaft angewandt werden, Audit-Schmerzen in Audit-Gewinne verwandeln. Es ist gut, zu vertrauen. Und noch besser ist es, zuzuhören, zu vertrauen und zu überprüfen.

back to panels