Ambidextrie und Informationssicherheit: Awareness durch organisationale Beidhändigkeit
Das CIO-Magazin hat auf seiner Website jüngst einen Artikel veröffentlicht, in dem sich für die Notwendigkeit von „Ambidextrie“ (Beidhändigkeit) in der Unternehmensführung ausgesprochen wird — gerade in Zeiten der Digitalisierung. Denn in diesen Zeiten — so die These — stelle die Digitale Transformation eine Organisation und damit das Management selbiger vor neue Herausforderungen. Man müsse als Management “beidhändig” agieren. Auf der einen Seite permanent an der Optimierung bestehender Modelle (Exploitation) wirken und auf der anderen Seite die innovative strategische Komponente der Organisation fördern (Exploration). Nur wenn dies ins Management der Organisation übergehe, wären Firmen in der Lage, die Herausforderungen der digitalen Transformation und die damit verbundenen Phasen von Unsicherheit und Innovation neben den klassichen Aufgaben des Führens stabiler Prozesse auszutarieren.
Hmm. Klingt ziemlich theoretisch. Was meint das denn nun konkret? Was hat SECUTAIN damit zu tun? Und was bedeutet das in unserem Falle für das Thema „Awareness für Informationssicherheit”?
SECUTAIN hat das Konzept der organisationalen Ambidextrie nach O’Reilly III und Tushman seit 2016 als einen wesentlichen theoretischen Ansatz erkannt und in seine strategische Ausrichtung und damit unseren grundlegenden Beratungs- und Schulungsansatz integriert.
Lassen Sie uns erst einmal verstehen, wo wir Ambidextrie im Kontext Informationssicherheit sehen. Die Exploitation (als bestmögliche Nutzung und stete Verfeinerung) sehen wir in etablierten und in einer Organisation integrierten Best-Practice-Organisationsansätzen. ISO 27001 ist so ein Beispiel. Organisationen führen ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 ein, orientieren sich dabei an einem Referenzmodell und arbeiten als Firma nun in einem klassischen Management-System-Ansatz daran, dass dieses ISMS stets besser gelebt und stets steigenden / veränderten Rahmenbedingungen angepasst wird. Sie sorgen so nicht nur dafür, die Re-Zertifizierung zu bestehen, sondern auch als Firma stets besser zu werden und den Reifegrad der Organisation erhöhen.
Hier kommt SECUTAIN das erste Mal ins Spiel: MitarbeiterInnen müssen dieses ISMS natürlich kennen und verstehen. Eine anschauliche, unterhaltsame und anschlussfähige Unterweisung in der Anwendung dieses ISMS ist also nicht nur ein Erfolgsfakor (und bei einer ISO 27001 gefordert), sondern auch Notwendigkeit, damit das System tatsächlich gelebt wird.
Was aber, wenn Dinge passieren, die das ISMS nicht abfängt? Also Dinge, für die ein ISMS aktuell nicht gedacht ist, die ein ISMS nicht erkennen kann oder die ein ISMS auch im höchsten Reifegrad niemals erkennen können wird?
Hier kommt die explorative Seite ins Spiel. Und diese sehen wir ganz eng verzahnt mit der Sensibilisierung und der Achtsamkeit einer Belegschaft für Informationssicherheit. Hier wird der allgegenwärtige Ruf nach Awareness, nach Sensibilisierung und nach Achtsamkeit deutlich und inhaltlich-theoretisch begründet.
Dazu ein Beispiel: Wenn Ihre Firma Opfer eines Social Enginieering Angriffs wird und die Human Hacker richtig gut sind (und glauben Sie uns, die gibt es — beispielsweise unter unseren SECUTAIN-Partnern), dann kennen diese nicht nur die üblichen „Alarm-Auslöser“ eines guten ISMS. Ein Human Hacker wird immer darauf achten, „unter dem Radar“ ihres ISMS zu fliegen, um keinen Alarm auszulösen. Ein Human Hacker wird „über Bande spielen“ und sie dort erwischen, wo kein Alarmsensor steht. Hier braucht es Neugier und Aufgeschlossenheit der Belegschaft einer Organisation. Es braucht aber auch ein neues Verständnis von Scham oder Umgang mit Fehlern. Und es braucht Mut, Dinge auszusprechen, die man sonst vielleicht nicht sagen würde, weil man sich nicht lächerlich machen mag. MitarbeiterInnen sollen einen Sinn dafür entwickeln, wenn irgendwas faul ist, wenn sich etwas komisch anfühlt, wenn etwas auf den ersten Blick ISMS-konform erscheint, auf den zweiten Blick aber zweifeln lässt. Hierzu braucht es die Eigenschaften einer explorativen Organisation, die innovativ mit Themen umgehen kann, für die bestehende Regelungen und Prozesse keine Vorgehensweise bieten. Hier braucht es weitere Sinne — genau das, was Sensibilisierung (lat. sensus: der Sinn) ja bezwecken soll.
Wir von SECUTAIN verfolgen daher immer das Ziel, Exploitation und Exploration gleichermaßen zu fördern. Damit Sie eine stetig besser werdende und achtsame Organisation haben.