Demnach sind 86 Prozent der befragten IT-Direktoren der Ansicht, dass die eigenen Mitarbeiter die häufigste Ursache für Sicherheitsprobleme sind. Probleme treten der Studie zu Folge trotz aufgestellter Policies und eingeführter Trainings auf. Die Gründe dafür sind vielfältig und liegen allesamt in der Natur des Menschen.
Jedem dritten Sicherheitsverstoss liegt ein Fehler zugrunde
Sicherheitsverstösse sind laut Studie zu 37 Prozent schlichtweg auf Fehler zurückzuführen. Weitere 31 Prozent der Teilnehmer machen jedoch das Ignorieren der vereinbarten Policies seitens der Mitarbeiter zur Hauptursache. Die Tatsache, dass das Personal oft nicht auf die Regeln aufmerksam gemacht oder ausreichend geschult wird, sehen 13 Prozent als entscheidend an. Das mutwillige Untergraben von Policies mit dem Ziel der Industriespionage halten noch fünf Prozent der Befragten für das höchste Risiko. Grösse und Standort des betroffenen Unternehmens sind dabei irrelevant für das Befragungsergebnis.
Compliance-Regeln gerecht werden
Aus diesem Grund stellt Clavister aktuelle IT-Security-Lösungen und -Policies in Frage und stellt sich der Herausforderung, die Problematik des menschlichen Versagens und Fehlverhaltens anzugehen. «Sinn und Zweck einer Security-Policy ist es, dass unberechtigte User keinen Zugang zum Netzwerk erhalten, während potenziell gefährliche Nutzer innerhalb der Organisation überwacht werden können», erklärt Andreas Åsander, Vice President Produktmanagement bei Clavister. «Dabei jedoch Compliance-Regeln gerecht zu werden ist nicht einfach. Die Dokumente, in denen Security Policies festgelegt sind, fallen allerdings oft sehr umfangreich und technisch aus, so dass sie für den durchschnittlichen Mitarbeiter kaum nachvollziehbar und somit unwichtig sind. Damit Security Policies befolgt werden, müssen Benutzer deren Bedeutung aus persönlicher und professioneller Perspektive erkennen.»
Tipps für eine effektive Policy
Clavister gibt daher Unternehmen mit den folgenden sechs Regeln eine Hilfestellung zum Verfassen einer wirkungsvollen Security Policy an die Hand:
– Verfassen Sie die Policy in einfacher und verständlicher Sprache. Vermeiden Sie dabei komplizierten und zu technischen Ausdruck und verwenden Sie Beispiele zur anschaulichen Erklärung der Regeln.
– Klären Sie die User über Policies auf. Es ist wichtig, dass Anwender verstehen, warum die Regeln aufgestellt werden müssen und welche Auswirkungen diese auf sie persönlich und ihren Job haben.
– Machen Sie die Konsequenzen klar. Usern, die sich nicht an die Regeln halten, müssen die Folgen bewusst sein.
– Helfen Sie, das Richtige zu tun. Stellen Sie nicht einfach eine Web Policy auf, die bestimmte Nutzungen schlichtweg untersagt. Unterstützen Sie Ihre Regeln zum Beispiel durch Web Filtering-Technologie, damit Verstösse gar nicht erst möglich werden.
– Geben Sie eine Hierarchie für Zugangsberechtigungen vor. Danach erhalten User nur Zugriff auf Ressourcen, die sie für die Fertigstellung ihrer Arbeiten benötigen.
– Überwachen und verbessern Sie. Verschaffen Sie sich einen Überblick, ob Ihre Regeln befolgt werden, indem Sie sowohl die Sicherheits-informations- und Event Management-Systeme nutzen als auch manuelle Stichproben durchführen. Verstehen Sie die Policy als dynamisches Dokument und ergänzen Sie es bei Bedarf. Geben Sie Benutzern mehr Beispiele, falls Verständnisprobleme auftreten. Ist das Befolgen der Regeln zu schwierig, suchen Sie nach weiteren Technologien, die Sie unterstützen.
(clavister/mc/ps)
