Aufbau einer Kultur der Offenheit: Wie man Mitarbeiter dazu ermutigt, Sicherheitsprobleme zu melden 

Wenn Ihre Mitarbeiter potenzielle Sicherheitsprobleme, -vorfälle oder -bedenken nicht melden, dann kann man mit Sicherheit sagen, dass Sie keine echte ‘speak up’-Kultur haben. Viele Unternehmen haben Richtlinien und Aufklärungsmaterialien, in denen die Mitarbeiter aufgefordert werden, alles Ungewöhnliche zu melden, aber oft klafft eine große Lücke zwischen dem, was geschrieben steht, und dem, was tatsächlich getan wird. 

In diesem Blog gehe ich der Frage nach, warum sich Ihre Mitarbeiter möglicherweise nicht an der Sicherheitsberichterstattung beteiligen und welche Faktoren ihre Beteiligung behindern könnten. Hier sind einige der Hauptgründe, warum die Mitarbeiter schweigen: 

Schauen wir uns diese nacheinander an. 

1. Es ist nicht klar, was zu melden ist 

Dies steht in direktem Zusammenhang mit meinem letzten Blog, “Das Ungewöhnliche erkennen”, in dem ich erörterte, dass Sicherheitsexperten oft davon ausgehen, dass Mitarbeiter wissen, was ungewöhnlich oder riskant ist. Die Wahrheit ist, dass wir es klarer formulieren müssen. Anstatt die Mitarbeiter mit komplexen Motiven von Bedrohungsakteuren zu überfordern, sollten Sie sich auf praktische, alltägliche Beispiele konzentrieren, wie Systemaufforderungen oder verdächtiges Verhalten von Einzelpersonen. Je konkreter Sie sind, desto größer ist die Chance, dass Ihre Mitarbeiter potenzielle Bedrohungen erkennen und melden. 

2. Es ist nicht klar, wie zu melden ist 

Ein Meldeverfahren, das in einem Richtliniendokument oder unter einer obskuren E-Mail-Adresse versteckt ist, reicht nicht aus. Machen Sie das Verfahren klar und zugänglich. Wenn Ihr Unternehmen ein Intranet nutzt, sollten Sie den Meldeprozess an einer gut sichtbaren Stelle platzieren. Wenn Sie Kollaborationstools wie Microsoft Teams oder Slack verwenden, richten Sie einen speziellen Kanal für die Meldung von Sicherheitsbedenken ein. Die Mitarbeiter müssen genau wissen, wie und wo sie Meldung machen können, und es sollte leicht zu finden sein. 

3. Es ist kompliziert zu berichten 

Die Meldung von Sicherheitsproblemen ist zwar eine Verantwortung, aber wir müssen auch die Zeit und Aufmerksamkeit der Mitarbeiter berücksichtigen. Wenn ein Sicherheitsverstoß auftritt, gibt es oft ein kritisches Zeitfenster, wie die “goldene Stunde” in der Notfallhilfe, wo schnelles Handeln entscheidend ist. Machen Sie die Meldung so einfach wie möglich. Komplexe Formulare können abschreckend wirken - gestalten Sie sie so, dass sie auch für technisch nicht versierte Benutzer geeignet sind, und bieten Sie immer die Möglichkeit, mit einem Menschen zu sprechen. Die Meldung eines Kollegen, das Gefühl, in Verlegenheit zu geraten, oder mangelnde technische Kenntnisse können Menschen davon abhalten, sich zu melden. Wie gut kann Ihr System mit diesen Empfindlichkeiten umgehen? 

4. Nichts passiert, wenn Sie es tun 

Wenn die Mitarbeiter nach der Meldung eines Problems kein Ergebnis sehen, verlieren sie schnell das Interesse und Vertrauen in den Prozess. Ohne Feedback verliert das System an Wert und wird ignoriert. Zu einer starken Sicherheitskultur gehört auch die Nachverfolgung - sei es auf Makroebene oder für den einzelnen Melder. Teilen Sie Updates zu Vorfällen oder Beispiele von Meldungen, die dazu beigetragen haben, Probleme zu verhindern, um die Wichtigkeit der Meldung zu unterstreichen. 

5. Mitarbeiter fühlen sich nicht wertgeschätzt 

Die Belohnung und Anerkennung von Mitarbeitern, die Probleme melden, ist entscheidend. Wenn sich jemand die Zeit nimmt, eine potenzielle Bedrohung zu melden, schulden wir ihm Anerkennung und Feedback, selbst wenn sich herausstellt, dass es sich nicht um ein Problem handelt. Unternehmen können “Sicherheits-Champions” einrichten, um diejenigen außerhalb des Sicherheitsteams zu würdigen, die einen wichtigen Beitrag leisten. Wie auch immer Sie vorgehen, sorgen Sie dafür, dass sich Ihre Mitarbeiter gehört und geschätzt fühlen. 

6. Sie haben keine Ahnung, ob jemand anderes Bericht erstattet 

Das Melden von Problemen zu einem normalen, erwarteten Verhalten zu machen, beginnt mit Transparenz. Geben Sie Statistiken über die Anzahl der Meldungen, die Art der festgestellten Probleme und die ergriffenen Maßnahmen bekannt. Nehmen Sie diese Informationen in die Einführungsveranstaltungen auf, damit neue Mitarbeiter vom ersten Tag an wissen, wie wichtig es ist, sich zu melden. Indem Sie die Meldung von Sicherheitsproblemen zu einem sichtbaren Teil Ihrer Unternehmenskultur machen, schaffen Sie die Erwartung, dass dies einfach “wie wir hier arbeiten” ist.” 

Wir hoffen, dass dieser Beitrag die menschlichen Faktoren - und nicht nur die technischen - hervorgehoben hat, die beeinflussen, ob Mitarbeiter Sicherheitsbedenken melden. Die Schaffung einer ‘speak up’-Kultur erfordert bewusste Anstrengungen, von der Klärung der Frage, was und wie zu melden ist, bis hin zur Anerkennung derjenigen, die dies tun. Nehmen Sie sich die Zeit, mit Ihren Mitarbeitern ins Gespräch zu kommen und zu verstehen, welche Herausforderungen sie beim Melden von Problemen haben. Schließlich hängt die Sicherheit zwar von den Daten ab, aber die “Kunden” Ihres Sicherheitsmeldesystems sind Ihre Mitarbeiter. Machen wir es ihnen leichter, zur Sicherheit des Unternehmens beizutragen.