Neue tiefenpsychologische Studie: Aus der Abwehr in den Beichtstuhl – der Securitymanager zwischen Doppelagent und Seelsorger

• Home
• Magazin
• Know How
• IT-Security Themen & Trends

Im Rahmen unserer neuen Sicherheitsstudie »Aus der Abwehr in den Beichtstuhl – der Securitymanager zwischen Doppelagent und Seelsorger. Qualitative Image- und Positionierungsanalyse C(I)SO & Co.« werden ca. 30 Sicherheitsbeauftragte in zweistündigen Tiefeninterviews u.a. nach Ihrer Arbeit, ihrer Positionierung, ihren Erfahrungen, Wünschen und Erwartungen befragt. Kern der Studie ist eine Image- und Positionierungsanalyse CSOs/CISOs und die Erstellung einer Typologie »Sicherheitsbeauftragte«.

Hieraus können Learnings für sämtliche Zielgruppen, die im Kontext von Informationssicherheit agieren, generiert werden:

• Sicherheitsbeauftragte erhalten einen aufschlussreichen Selbstbild-Fremdbild-Abgleich sowie eine fundierte Analyse der Stärken und Schwächen, aus denen sie Rückschlüsse auf sich, ihre Arbeit und die Sicherheitskultur in Ihrem Unternehmen und deren Optimierung generieren sowie Ihre exakte Positionierung gegenüber Vorgesetzten, IT-Abteilung, Unternehmenskommunikation, Mitarbeitern, etc. herleiten können.
• Unternehmen und deren Security-Consultants erhalten bisher weitgehend »verschüttete« tiefenpsychologische Erkenntnisse bzgl. der aktuellen Sicherheitskultur in Unternehmen sowie über den Zusammenhang von Sicherheitskultur und Auftritt wie Positionierung ihrer CSOs/CISOs.
• IT- und Kommunikationsabteilung erhalten Anregungen und Handlungsanweisungen zur Optimierung der internen Kommunikation und insbesondere ihrer Kommunikation mit dem Sicherheitsbeauftragten.
• Entscheider und Personalmanager erhalten klassifizierte Kriterien zur Beurteilung von CSO-/CISO-Profilen.
• Security-Dienstleister – insbesondere Anbieter technischer Lösungen – und Fachmedien erhalten fundierte Informationen über Ihre Zielgruppe und hinsichtlich einer produktiven Ansprache von Sicherheitsbeauftragten sowie IT-Abteilung.
• Kommunikationsagenturen und Awareness-Dienstleister wie known_sense können aus den Studienergebnissen Coachings, Kommunikationsbriefings u.a. Tools für Sicherheitsbeauftragte entwickeln, die die oben aufgeworfenen Topics und die spezielle Situation der CSOs/CISOs berücksichtigen und diese darin unterstützen, Positionierung, Kommunikation und Maßnahmen zu verbessern.

Basierend auf Erfahrungen im Awareness-Umfeld kann known_sense über zahlreiche Maßnahmen berichten, die aufgrund fehlender Unterstützung der Sicherheitsbeauftragten scheitern oder gar nicht erst gelaunched werden. Neben der offiziellen Kommunikation existiert in zahlreichen Unternehmen eine non-verbale Ebene, auf der die Belange der Informationssicherheit desavouiert werden. Eine diesbezügliche Kausalanalyse ist Bestandteil dieser Studie. Es ist zu vermuten, dass Entscheider einerseits Maßnahmen der Informationssicherheit als Barriere ihrer Unternehmungen betrachten, dass sich aber andererseits weitgehende Teile der Mitarbeiterschaft hiesiger Unternehmen einem qua Awareness-Kampagne kommunizierten Signal zum Aufbruch und damit erwünschten Veränderungen (Aufwand) verweigern.

CSOs brauchen Story & ein Gesicht!

Learnings über das Wirken der IT-Abteilung allgemein konnten wir bereits in der 2006 produzierten Grundlagenstudie »Entsicherung am Arbeitsplatz«, mit unseren Partnern <kes>, dem DSV, der EnBW, nextsolutions, Pallas und HP ableiten:

• Security-Maßnahmen wird ambivalent begegnet: Einerseits helfen sie (Admins, Sicherheitsbeauftragte) durch ihre administrative Präsenz, die Arbeitsverfassung des Einzelnen im gewünschten Rahmen zu halten. Andererseits werden sie als Exekutive des Systemzwanges im Unternehmen erlebt. In dieser Verkehrung werden sie als Kontrollinstanz mit einem Hang zu Größenwahn und Sadismus beschrieben. In der Regel wird ihnen misstrauisch bis ablehnend begegnet.
• Die IT-Abteilung hat zugleich eine sichernde und eine entsichernde Seite: Als Wissende (z.B. Passwort zurücksetzen) verhilft sie dazu, einen unbewussten Ausbruch ohne die Konsequenz eines tatsächlichen Verlustes der Zugehörigkeit überhaupt erst zu ermöglichen.
• Information Security braucht eine Story! Information Security bleibt über weite Strecken unsichtbar und unfassbar. Es zeigt nur wenig sinnliche Ansätze bzw. Szenarien. Security erzählt zu wenig Geschichten. Sie bleibt ein seltsam unbelebter Teil im Unternehmen.
• Information Security braucht ein Gesicht, braucht Protagonisten.
• Information Security nutzt ihr Potential zur produktiven Gestaltung der Unternehmenskultur bislang zu wenig, hat aber die Chance, eine sinnliche Belebung in oft sachliche Zwänge zu bringen und so regulierend auf die Gesamtverfassung des Unternehmens einzuwirken. Sie ist nicht nur Teil der Unternehmenskultur, sie kann die Kultur auch entscheidend prägen.

Kernfragen, die sich aus diesen Erkenntnissen ableiten lassen, müssten also u.a. in etwa lauten: Wie lassen sich die entsichernden Seiten der Information Security, die sich aus sich heraus generieren, reduzieren und die unbelebten bis grauen Images des Sicherheitsbeauftragten aufladen?

Entsicherungen nicht beseitigen

Darüber hinaus können aus der anstehenden Studie auch Learnings für geplante Awareness-Maßnahmen eruiert werden: Der Umgang mit unternehmensbezogenen Sicherheitsmaßnahmen ist wesentlich davon geprägt, wie der Einzelne das Unternehmen als Ganzes, und seine Stellung innerhalb dieser »Arbeitsfamilie« erlebt. Das bedeutet, dass jedes Unternehmen seine individuelle Sicherheitskultur »produziert« und diese somit untrennbar mit der Kultur des Unternehmens verbunden ist. Dies hat Konsequenzen für die Ausrichtung jeglicher Kommunikation, die Sicherheit zum Thema hat:

Entsicherndes Verhalten lässt sich nicht als isoliertes Phänomen verstehen, das es mit allen Mitteln zu beseitigen und verhindern gilt. Vielmehr ist die Frage zu stellen: Welcher Sinn kommt in diesem Verhalten zum Ausdruck? Weiterhin ist zu klären wie sicherheitsbezogene Themen bislang aufgegriffen und dargestellt wurden und welches Bild von Sicherheits- und damit in Teilen auch Unternehmenskultur damit kommuniziert wurde.

Ohne Veränderung null Awareness

Für die Entwicklung einer wirksamen Kommunikation im Bereich Security Awareness durch den Sicherheitsbeauftragten würde dies bedeuten:

• Das grundlegende Zusammenwirken von Unternehmenskultur und Sicherheitskultur muss vom Sicherheitsbeauftragten verstanden werden.
• Zielführend ist die Frage, welche unternehmensspezifische Problematik anhand des entsichernden Verhaltens seiner Mitarbeiter behandelt wird.
• Eine wirksame Security Awareness Kampagne muss die unternehmensspezifischen Motive entsichernden Verhaltens aufgreifen und darüber eine Veränderung einleiten.

Sponsoren willkommen

Wenn wir Ihr Interesse geweckt haben, sich an dieser erstmals durchgeführten Untersuchung als Partner und Sponsor zu beteiligen, würden wir uns über ein Feedback freuen. Als Sponsor genießen Sie zahlreiche Vorzüge gegenüber »normalen« Käufern der Studie, die sich nicht nur auf das Co-Branding des Berichtsbandes und der erhöhten Aufmerksamkeit durch gemeinsame PR-Aktivitäten erschöpfen. Sie erhalten z.B. Sonderkonditionen bei Mediaschaltungen im unmittelbaren Umfeld der Studien-Berichterstattung unseres Medienpartners <kes> sowie Informationen aus erster Hand. Als Sponsor nehmen Sie VOR dem Launch der Studie an einer zweistündigen Präsentation der psychologischen Projektleiter in Köln teil, die Ihnen auch Hintergrundinformationen und Argumentationshilfen liefern. Darüber hinaus können Sie bei Tiefeninterviews zuschauen, damit Sie sich ein Bild von der Methodik machen können und stehen während der Untersuchung und der PR-Aktivitäten nach dem Launch in einem ständigen Dialog mit unserem Team. Natürlich erhalten Sie zahlreiche Studienbände und -PDFs – wahlweise in deutsch oder englisch – für Ihre Partner und/oder Kunden.

Die Feldarbeit zu unserer neuen Sicherheitsstudie beginnt im Spätherbst 2007. der Erscheinungstermin ist Anfang 2008. Bei Interesse erwarten wir Ihre Anfrage bis zum 15. September 2007.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.