Moderne Sicherheit erfordert einen empathischen Ansatz gegenüber Insidern

Interne Risiken können überall im Unternehmen und bei jedem auftreten. Es könnte von verärgerten ehemaligen Mitarbeitern stammen, die KI-Geschäftsgeheimnisse stehlen, oder von jemandem, der von einem Konkurrenten gestohlen wurde, der auf dem Weg aus dem Haus die Designgeheimnisse von mobilen Chips mitnimmt. Es kann sogar von der C-Suite kommen, wie ein Unternehmen kürzlich erfuhr, als sein CFO fälschlicherweise ein Dokument mit dem Titel „Umstrukturierung“ an das gesamte Unternehmen weitergab. Die unbeabsichtigte Offenlegung von Daten könnte zu Störungen bei den Mitarbeitern führen oder sogar die Offenlegungspflicht der SEC (Reg FD) für börsennotierte Unternehmen auslösen, wenn die durchgesickerten Daten Aktionäre betreffen könnten.

Für das Sicherheitsteam kann es unangemessen sein, einen kämpferischen Ansatz – der für externe Bedrohungen gedacht ist – mit dem CFO wegen unbeabsichtigter Datenfreigabe zu verfolgen. Es gibt einen besseren Weg.

Einfühlsamer Umgang mit Mitarbeiterermittlungen

Die Art und Weise, wie wir mit externen Risiken – wie zum Beispiel Malware – im Vergleich zu Risiken von Insidern umgehen sollten, ist sehr unterschiedlich.

Tabelle Malware-Risiko vs. internes Risiko

Beim Management interner Risiken sind viele Faktoren zu berücksichtigen, insbesondere im Hinblick auf die gewünschten Geschäftsergebnisse. Interne Untersuchungen sollten nicht ausschließlich in den Zuständigkeitsbereich des Sicherheitsteams fallen und erfordern häufig die Zusammenarbeit von Sicherheits-, Personal- und Rechtsangelegenheiten. Laut Gartner „zeigen Umfragedaten …, dass mehr als 50 % der internen Vorfälle harmlos sind“, was bedeutet, dass der für den Vorfall verantwortliche Mitarbeiter meistens einfach nur versuchte, seine Arbeit zu erledigen, einen Fehler machte oder eine Abkürzung nahm . Sie so zu behandeln, als wären ihre Handlungen absichtlich böswillig, ist ein falscher Ansatz und kann nach hinten losgehen. Die an der Untersuchung Beteiligten sollten einen einfühlsamen, urteilsfreien Ansatz verfolgen. Andernfalls steigt das Risiko, dass dieser Mitarbeiter denselben Fehler erneut macht oder unzufrieden und entrechtet wird, exponentiell an.

Interne Ermittlungen mit Empathie anzugehen, erfordert eine psychologische Transformation. Es ist der erste Schritt zum Aufbau von Vertrauen und somit kann das beste Ergebnis für die Organisation erreicht werden. Hier sind fünf wichtige Komponenten eines empathischen Ansatzes für interne Untersuchungen:

  • Weiterhin verstehen: Wenn ein Ereignis eintritt, kann die erste Kommunikation informell sein wie: „Hey, wir haben festgestellt, dass Sie ein Dokument auf Ihr persönliches Cloud-Konto übertragen haben. Wollten Sie das?“ Ihre Antwort ist oft überraschend, weil es ein Fehler war. oder sie haben nicht erkannt, dass dies nicht erlaubt ist. Vielleicht mussten sie die Arbeit einfach erledigen, und das war der schnellste Weg.
  • Entdecken Sie unbewusste Vorurteile: Alle Menschen haben bewusste und unbewusste Vorurteile, die unsere Handlungen und Entscheidungen beeinflussen. Das HR-Team kann anderen Stakeholdern helfen, diese Vorurteile zu untersuchen und zu mindern. Es ist wichtig, dass Sie alle Personen gleich behandeln, egal ob es sich um ihre Kollegen, den CEO oder jemanden aus einer anderen Gruppe oder Kultur als Ihrer eigenen handelt.
  • Seien Sie versichert von partnerschaftlicher Unterstützung: Wenn es sich bei dem Ereignis um einen Fehler handelt, teilen Sie dem Mitarbeiter mit, dass er keine Probleme hat. Der Mitarbeiter wird wahrscheinlich denken, dass er es ist, und sich fragen, ob er seinen Job verlieren könnte. Es ist ein natürlicher menschlicher Instinkt, defensiv zu werden und das Verhalten zu leugnen. Versichern Sie ihnen, dass das Ereignis rückgängig gemacht werden kann und Sie hier sind, um zu helfen. Es ist wahrscheinlicher, dass sie ehrlich darüber sind, was sie zu tun versuchten, und Sie werden besser in der Lage sein, zu helfen – und alle offengelegten oder durchgesickerten Daten wiederherzustellen.
  • Ausbildung: Im Falle eines fahrlässigen oder zufälligen Vorfalls ist es wichtig, den Mitarbeiter über das künftige richtige Verhalten zu informieren. Die Orientierung zum Zeitpunkt des Fehlers ist sehr einflussreich und bleibt eher in Erinnerung als etwa eine jährliche Schulung. Sie können das Gespräch mit kurzen ein- bis dreiminütigen Videos über eine bestimmte Situation bereichern.
  • Bilde ein Verb: Es ist wichtig, jede Untersuchung mit Empathie zu behandeln, aber es gibt immer eine Portion interner Verstöße, die wirklich schädlich sind. In diesen Fällen ist die Dokumentation wichtig. Wenn ein Mitarbeiter feststellt, dass er absichtlich riskant handelt – und wenn dies eindeutig ein anhaltendes Risiko für das Unternehmen und seine Daten darstellt – ist es an der Zeit, alle wichtigen Interessengruppen aus den Bereichen Sicherheit, Personalwesen und Recht zusammenzubringen, um die empfohlene Vorgehensweise vorzustellen für das Führungsteam.

Interne Ermittlungen mit Empathie anzugehen hilft dabei, eine Kultur des Vertrauens, der offenen Kommunikation und des Respekts aufzubauen. Es baut eine positive Sicherheitskultur auf und hält sie aufrecht – und das Beste ist, dass es dazu beiträgt, die wertvollsten Daten Ihres Unternehmens sicher und geschützt aufzubewahren.

Dieser Inhalt wurde von Insights, dem dedizierten Inhaltsarm des MIT Technology Review, erstellt. Es wurde nicht von der Redaktion des MIT Technology Review geschrieben.

William

Leave a Reply

Your email address will not be published.