Ambidextrie und Informationssicherheit: Awareness durch organisationale Beidhändigkeit

Das CIO-Magazin hat auf seiner Website  jüngst einen Artikel ver­öf­fent­licht, in dem sich für die Notwendigkeit von „Ambidextrie“ (Beidhändigkeit) in der Unternehmensführung aus­ge­spro­chen wird — gera­de in Zeiten der Digitalisierung. Denn in die­sen Zeiten — so die These — stel­le die Digitale Transformation eine Organisation und damit das Management sel­bi­ger vor neue Herausforderungen. Man müs­se als Management “beid­hän­dig” agie­ren. Auf der einen Seite per­ma­nent an der Optimierung bestehen­der Modelle (Exploitation) wir­ken und auf der ande­ren Seite die inno­va­ti­ve stra­te­gi­sche Komponente der Organisation för­dern (Exploration). Nur wenn dies ins Management der Organisation über­ge­he, wären Firmen in der Lage, die Herausforderungen der digi­ta­len Transformation und die damit ver­bun­de­nen Phasen von Unsicherheit und Innovation neben den klas­si­chen Aufgaben des Führens sta­bi­ler Prozesse aus­zu­ta­rie­ren.

Hmm. Klingt ziem­lich theo­re­tisch. Was meint das denn nun kon­kret? Was hat SECUTAIN damit zu tun? Und was bedeu­tet das in unse­rem Falle für das Thema „Awareness für Informationssicherheit”?

SECUTAIN hat das Konzept der orga­ni­sa­tio­na­len Ambidextrie nach O’Reilly III und Tushman seit 2016 als einen wesent­li­chen theo­re­ti­schen Ansatz erkannt und in sei­ne stra­te­gi­sche Ausrichtung und damit unse­ren grund­le­gen­den Beratungs- und Schulungsansatz inte­griert.

Lassen Sie uns erst ein­mal ver­ste­hen, wo wir Ambidextrie im Kontext Informationssicherheit sehen. Die Exploitation (als best­mög­li­che Nutzung und ste­te Verfeinerung) sehen wir in eta­blier­ten und in einer Organisation inte­grier­ten Best-Practice-Organisationsansätzen. ISO 27001 ist so ein Beispiel. Organisationen füh­ren ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 ein, ori­en­tie­ren sich dabei an einem Referenzmodell und arbei­ten als Firma nun in einem klas­si­schen Management-System-Ansatz dar­an, dass die­ses ISMS stets bes­ser gelebt und stets stei­gen­den / ver­än­der­ten Rahmenbedingungen ange­passt wird. Sie sor­gen so nicht nur dafür, die Re-Zertifizierung zu bestehen, son­dern auch als Firma stets bes­ser zu wer­den und den Reifegrad der Organisation erhö­hen.


Hier kommt SECUTAIN das ers­te Mal ins Spiel: MitarbeiterInnen müs­sen die­ses ISMS natür­lich ken­nen und ver­ste­hen. Eine anschau­li­che, unter­halt­sa­me und anschluss­fä­hi­ge Unterweisung in der Anwendung die­ses ISMS ist also nicht nur ein Erfolgsfakor (und bei einer ISO 27001 gefor­dert), son­dern auch Notwendigkeit, damit das System tat­säch­lich gelebt wird. 

Was aber, wenn Dinge pas­sie­ren, die das ISMS nicht abfängt? Also Dinge, für die ein ISMS aktu­ell nicht gedacht ist, die ein ISMS nicht erken­nen kann oder die ein ISMS auch im höchs­ten Reifegrad nie­mals erken­nen kön­nen wird? 

Hier kommt die explo­ra­ti­ve Seite ins Spiel. Und die­se sehen wir ganz eng ver­zahnt mit der Sensibilisierung und der Achtsamkeit einer Belegschaft für Informationssicherheit. Hier wird der all­ge­gen­wär­ti­ge Ruf nach Awareness, nach Sensibilisierung und nach Achtsamkeit deut­lich und inhalt­lich-theo­re­tisch begrün­det.

Dazu ein Beispiel: Wenn Ihre Firma Opfer eines Social Enginieering Angriffs wird und die Human Hacker rich­tig gut sind (und glau­ben Sie uns, die gibt es — bei­spiels­wei­se unter unse­ren SECUTAIN-Partnern), dann ken­nen die­se nicht nur die übli­chen „Alarm-Auslöser“ eines guten ISMS. Ein Human Hacker wird immer dar­auf ach­ten, „unter dem Radar“ ihres ISMS zu flie­gen, um kei­nen Alarm aus­zu­lö­sen. Ein Human Hacker wird „über Bande spie­len“ und sie dort erwi­schen, wo kein Alarmsensor steht. Hier braucht es Neugier und Aufgeschlossenheit der Belegschaft einer Organisation. Es braucht aber auch ein neu­es Verständnis von Scham oder Umgang mit Fehlern. Und es braucht Mut, Dinge aus­zu­spre­chen, die man sonst viel­leicht nicht sagen wür­de, weil man sich nicht lächer­lich machen mag. MitarbeiterInnen sol­len einen Sinn dafür ent­wi­ckeln, wenn irgend­was faul ist, wenn sich etwas komisch anfühlt, wenn etwas auf den ers­ten Blick ISMS-kon­form erscheint, auf den zwei­ten Blick aber zwei­feln lässt. Hierzu braucht es die Eigenschaften einer explo­ra­ti­ven Organisation, die inno­va­tiv mit Themen umge­hen kann, für die bestehen­de Regelungen und Prozesse kei­ne Vorgehensweise bie­ten. Hier braucht es wei­te­re Sinne — genau das, was Sensibilisierung (lat. sen­sus: der Sinn) ja bezwe­cken soll.

Wir von SECUTAIN ver­fol­gen daher immer das Ziel, Exploitation und Exploration glei­cher­ma­ßen zu för­dern. Damit Sie eine ste­tig bes­ser wer­den­de und acht­sa­me Organisation haben.