Jen Waugh trat im Mai 2024 als Senior Director, Security Culture, Okta bei. Eine von Jens Hauptaufgaben ist es, ihre umfassende Experience – in den Bereichen Cybersicherheit, Governance, Compliance und Führung – einzusetzen, um eine Sicherheitskultur als treibende Kraft hinter der kontinuierlichen Weiterentwicklung von Okta als Sicherheitsunternehmen zu schaffen und zu fördern.
Da wir erkannt haben, dass andere Organisationen ähnliche Schritte unternehmen möchten und ihre Führungskräfte von Jens Erkenntnissen profitieren könnten, baten wir sie, einige Gedanken darüber zu teilen, was es braucht, um die Kultur eines Unternehmens weiterzuentwickeln und gleichzeitig seiner Identität treu zu bleiben.
Obwohl Sicherheit immer Teil der Identität von Okta war, hat die Entwicklung von Cyber-Bedrohungen – sowohl gegen Unternehmen wie das unsere als auch gegen unsere Kunden – uns dazu veranlasst, uns selbst aus einer etwas anderen Perspektive zu betrachten. Da Identität und Sicherheit wie zwei Seiten derselben Medaille miteinander verbunden sind, sehen wir uns selbst so, wie andere uns sehen: als ein führendes globales Sicherheitsunternehmen. Tatsächlich ist Sicherheit einer unserer Unternehmenswerte, und jeder Mitarbeiter ist dafür verantwortlich, Okta und unsere Kunden zu schützen.
Wir nehmen unsere Verantwortung ernst und haben im Februar 2024 das Okta Secure Identity Commitment angekündigt, unseren langfristigen Plan, die Branche im Kampf gegen Identitätsangriffe als Lead anzuführen.
Letztendlich wird unser Erfolg bei der Umsetzung dieses Plans und anderer wichtiger Sicherheitsinitiativen stark von unseren Fortschritten in einem verwandten Bereich beeinflusst: dem Aufbau einer Sicherheitskultur innerhalb von Okta selbst.
Unsere DNA verändern
Eine starke Sicherheitskultur ist grundlegend, um sicherzustellen, dass sowohl die sensiblen Daten von Okta als auch die Daten, die andere Okta anvertrauen, sicher bleiben.
Aber eine Sicherheitskultur zu schaffen – sodass Sicherheit implizit in der DNA eines Unternehmens und zur zweiten Natur seines Teams wird – ist keine kleine oder einfache Aufgabe, und sie geschieht nicht einfach so. Eine Veränderung ist erforderlich, und oft bringt diese Veränderung ein Element der organisierten Störung mit sich.
Aus meiner bisherigen Erfahrung und den Gesprächen mit Sicherheitsverantwortlichen in der gesamten Branche behielt ich einige Dinge im Hinterkopf, als ich mich daran machte, diese Initiative zu leiten:
- Eine starke Sicherheitskultur steht im Zusammenhang mit den Werkzeugen und Technologien, die wir einsetzen, unterscheidet sich jedoch von diesen. Wir haben ein Weltklasse-Technologie-Team und robuste Cyber-Operationen, aber Kultur dreht sich um Überzeugungen und Verhaltensweisen.
- Sicherheit sollte in Ihre Unternehmenswerte integriert werden. Wir haben unsere Werte Anfang dieses Jahres aktualisiert und einen neuen Wert eingeführt (Always secure). Always on.), um unser kontinuierliches Engagement widerzuspiegeln, jeden Mitarbeiter zu einem Mitverantwortlichen für die Sicherheit zu machen.
- Eine starke Sicherheitskultur muss mehr sein als nur definierte Richtlinien und Verfahren. Es wird von jedem Mitarbeiter bei Okta erwartet, dass er eine aktive Rolle bei der Annahme, Ausübung und Förderung effektiver Sicherheitsmaßnahmen übernimmt und zu einer kollektiven menschlichen Verteidigungslinie beiträgt, die über jede dokumentierte Richtlinie oder jeden Standard hinausgeht.
- Es gibt keine Zauberwaffe, und taktische Lösungen sind nicht nachhaltig. Die Nutzung eines zweigleisigen Ansatzes ist vorteilhaft, aber seien Sie vorsichtig, nicht in einem taktischen Kreislauf gefangen zu werden – und stellen Sie sicher, dass Sie Flexibilität um das Design herum gestalten, indem Sie die Wechselwirkungen zwischen den wesentlichen Elementen Ihres Unternehmens berücksichtigen.
- Die Notwendigkeit des Fortschritts muss durch Geduld ausgeglichen werden. Die Arbeit ist nie abgeschlossen; sie ist eine ständige Weiterentwicklung, die durch den Selektionsdruck von Geschäftsstrategie, Prioritäten und der Bedrohungslandschaft geformt wird. Behalten Sie diese Dinge im Auge und passen Sie Ihren Ansatz kontinuierlich an.
Mit diesen Ideen, die mein Denken prägten, arbeitete ich mit anderen Führungskräften von Okta zusammen, um die drei Säulen der Sicherheitskultur zu entwickeln, zu verfeinern und zu fördern, auf denen unsere Sicherheitskultur basiert.
Säule 1: Sicherheit Warum
Es gibt ein ziemlich berühmtes Zitat von Friedrich Nietzsche: „Wer ein Warum zum Leben hat, erträgt fast jedes Wie.“
Anders ausgedrückt: Wenn Menschen den Grund für etwas verstehen, sind sie bereit, alles zu tolerieren – oder idealerweise enthusiastisch Support zu leisten –, was nötig ist, um es zu erreichen.
Für uns geht das Security Why tiefer als nur zu erklären, warum Sicherheit wichtig ist, und konzentriert sich darauf, die Kontextualisierung von Sicherheit auf die individuelle Rolle und Verantwortung jedes einzelnen Teammitglieds zu beziehen.
Wir beginnen damit, die externen Bedrohungen auf klare und datengestützte Weise zu verstehen. Das bedeutet, breite Aussagen zu vermeiden und stattdessen die Bedrohungslandschaft zu analysieren. Welchen Angriffen ist Okta ausgesetzt? Welchen Angriffen sind andere in unserer Branche ausgesetzt? Welche größeren Trends prägen die zukünftigen Angriffe?
Aber Marketing 101 lehrt uns die Bedeutung, unsere Zielgruppe zu kennen, um eine effektive Kommunikation zu gewährleisten. Zu diesem Zweck habe ich persönlich mehr als 70 Personen aus dem gesamten Okta-Unternehmen interviewt, wobei jedes einzelne Interview unterschiedliche Perspektiven lieferte, die unseren Ansatz zur Sicherheitskultur geprägt haben.
Durch die Zusammenarbeit mit verschiedenen Funktionsteams können wir diese „Marktinformationen“ nutzen, um unsere Botschaften im gesamten Unternehmen anzupassen. Während die übergeordneten Ziele unserer Sicherheitsinitiativen klar und konsistent sind, können verschiedene Teams – in ihrer eigenen Sprache – verstehen, was täglich von ihnen erwartet wird und, was ebenso wichtig ist, warum.
Führung und Kommunikation
Wenn man die breitere Geschäftswelt betrachtet, scheitern viele groß angelegte Initiativen oft daran, dass die Verantwortlichen glauben, dass eine Top-Down-Führung alles ist, was es braucht, um Veränderungen herbeizuführen.
Und machen Sie keinen Fehler, starke Führung (insbesondere Führung durch Vorbild) ist notwendig – und wir sind glücklich, dass unser CEO diese Botschaft vorantreibt. Aber eine Top-Down-Führung allein ist unzureichend, und eine Initiative hat eine viel größere Chance auf Erfolg, wenn es im gesamten Unternehmen Fürsprecher gibt und der Ablauf der Kommunikation in alle Richtungen erfolgt.
Was wir anstreben, ist klare Verbindungen zwischen Sicherheitsinitiativen und den Zielen und Vorgaben unseres Unternehmens herzustellen. Für diejenigen, die mit SABSA vertraut sind, stimmen wir uns mit der Komponente Business Security Architecture des Frameworks ab, wobei unser wichtigster geschäftlicher Treiber die Sicherheit ist.
Ich gebe ein Beispiel: Okta verfügt über mehrere Kommunikationskanäle, um aktives Feedback und Support zu ermöglichen. Unsere Teams haben Optionen, die auf ihre Arbeitsweise zugeschnitten sind, und wir passen unseren Ansatz kontinuierlich an. Vom ersten Tag an war es sehr offensichtlich, dass unser Ansatz facettenreich sein muss und nicht auf Annahmen beruhen darf. Glücklicherweise ist Okta ein Unternehmen, das sich auf furchtloses und konstruktives Feedback konzentriert.
Wenn sich Menschen einbezogen fühlen, wenn sie das Gefühl haben, dass das Unternehmen zuhört, wenn sie sehen, dass aufgrund ihres Feedbacks Anpassungen vorgenommen werden, und wenn sie sehen, dass Führungskräfte die Botschaften verkörpern, die sie kommunizieren – dann haben Sie die Voraussetzungen für einen echten Kulturwandel.
Säule 2: Sicherheitskräfte
Security People dreht sich um (Sie haben es erraten!), die Menschen bei Okta.
Unsere Säule „Security People“ wurde so gestaltet, dass sie messbar ist, und meiner persönlichen Meinung nach ist sie das – und wird es auch weiterhin sein – zentral für unseren Erfolg.
Lebenszyklus der Mitarbeiter
Aus Sicherheitsperspektive beginnt der Mitarbeiterlebenszyklus in dem Moment, in dem eine Stelle verfügbar ist. Glücklicherweise starten wir von einer soliden Grundlage, wenn wir den Lebenszyklus bei Okta betrachten.
Unser Ansatz ist zweigleisig:
- Zuerst betrachten wir die Verbesserung der Sicherheitsverantwortung und -rechenschaftspflicht bei jeder einzelnen Person, die bei Okta arbeitet.
- Zweitens betrachten wir die Associate-Bedrohungen durch die Linse
Diese Bedrohungen werden jeden Tag von unserer Branche konfrontiert, und Selbstgefälligkeit kann zu einer Gefährdung führen.
Wir haben einen bedrohungsbasierten Ansatz gewählt, und obwohl diese Prozesse konzeptionell recht einfach sind, ist es in einem so großen Unternehmen wie Okta leichter gesagt als getan, die Details richtig zu machen – was mich dankbar für die Partnerschaft macht, die mein Team mit unserer People and Places-Gruppe hat. Diese Partnerschaft ermöglicht es uns, die Herausforderungen zu priorisieren und zu lösen, die sich aus einer großen und globalen Belegschaft ergeben.
Globales Personennetzwerk
Ich habe vorhin die Notwendigkeit einer multidirektionalen Kommunikation erwähnt, und ein weiterer Weg, wie wir dazu beitragen, ist durch unser Global People Network.
Im Wesentlichen handelt es sich um Gruppen mit Querschnittsvertretung aus vielen Funktionen innerhalb von Okta. Wir sprechen mit den Gruppen, lernen von ihnen und holen ihren Input zu verschiedenen Dingen ein, die wir ausprobieren oder auszuprobieren gedenken. Diese Gespräche helfen uns, Probleme zu erkennen – sei es systemischer oder eher lokaler Natur – und unsere Bemühungen zu priorisieren.
Nach einem erfolgreichen Pilotprojekt gründen wir nun regionale Gruppen weltweit. Die Pilotgruppe hat das Interesse der Mitarbeiter, sich an unserer Sicherheitskultur zu beteiligen und sich mit ihr zu identifizieren, im Showcase gezeigt. Ich habe aus erster Hand die Leidenschaft hinter unserem Build It, Own It Wert gesehen.
Die Mitglieder der Foren verstehen und, wie ich finde, schätzen, dass sie ein wesentlicher Bestandteil der Lösung sind – bei der Definition und dem Beitrag zur Sicherheitskultur – und dass ihre Erkenntnisse das prägen, was wir im gesamten Unternehmen tun.
Bei Okta haben wir auch ein gut etabliertes Sicherheits-Champion-Netzwerk, das von unserem Sicherheitsschulungsteam geleitet wird. Während das Global People Network darauf ausgelegt ist, alle bei Okta einzubeziehen, konzentriert sich das Security Champion Network auf die Sicherheit von Technologie und Produkten.
Eingebettete Security-Teams
Unter meiner Kollegin Charlotte Wylie (SVP Deputy CSO, Okta) haben wir ein Team für Sicherheitsausbildung. Sie konzentrieren sich vorwiegend auf die fortlaufende Weiterbildung unserer Developer- und Ingenieurteams in Bereichen wie sichere Programmierung und Entwicklungspraktiken als Teil eines sicheren Softwareentwicklungslebenszyklus.
Mitglieder des Security Education-Teams sind im gesamten Unternehmen eingebettet, sodass sie täglich mit unseren Developern und Programmierern zusammenarbeiten.
Dies ist aus mehreren Gründen wichtig.
Zunächst fördert es die erwarteten Normen in Bezug auf sichere Best Practice. Aus kultureller Perspektive ist das ein großer Gewinn.
Zweitens bleibt die Sicherheit im Vordergrund und fördert nicht nur die aktuellen Best Practice, sondern auch die erwarteten Verhaltensweisen.
Drittens ist Sicherheit ein sehr detailliertes und sich fast immer änderndes Thema – daher ist es ehrlich gesagt unrealistisch zu erwarten, dass jeder Developer oder Ingenieur über diese Änderungen auf dem Laufenden bleiben kann. Der tägliche Zugang zu einem Mitglied des Security Education-Teams hilft der gesamten Developer, effizienter zu arbeiten und gleichzeitig das Wissen aller schrittweise zu erweitern.
Säule 3: Security Pulse
Security Pulse ist der datengesteuerte Weg, auf dem wir unsere Sicherheitsziele erreichen werden.
Zahlen, Prozentsätze, Trends – die kalten, harten Fakten, die uns helfen, Fortschritte zu messen, zu erkennen, wo wir zurückfallen oder gut abschneiden, und Dinge nachhaltig und wiederholbar zu gestalten.
Erinnern Sie sich daran, dass ich die Notwendigkeit erwähnt habe, Fortschritt mit Geduld in Einklang zu bringen. Persönlich habe ich manchmal Schwierigkeiten mit der Geduld – ich schaue auf die Ziele, bin mir der Bereiche, die mehr Arbeit erfordern, bewusst, und habe das Gefühl, dass wir sie nicht schnell genug erreichen können. Wir setzen die Messlatte sehr hoch.
So sehr es für das Unternehmen von Vorteil ist, Fortschritte messen zu können, sind die Kennzahlen ständige Erinnerungen daran, was wir erreicht haben und dass wir uns wirklich gemeinsam vorwärts bewegen.
NIST CSF 2.0
Wir haben im Vorfeld Zeit investiert, um ein vereinfachtes Framework zu entwickeln, das mit dem National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 2.0 abgleicht, um den aktuellen Stand der Sicherheitslage von Okta besser zu verstehen und Fortschritte zu tracken. Ich persönlich bin ein Fan des aktualisierten NIST-Frameworks, insbesondere der Aufnahme einer sechsten Säule – Govern – innerhalb des CSF 2.0. Die Nutzung dieses Ansatzes bringt unsere Sicherheitskultur in Einklang mit anderen Sicherheitsinitiativen von Okta und der gesamten Branche.
Abschiedsworte
Oktas Vision ist es, allen die Freiheit zu geben, jede Technologie sicher zu nutzen.
Als Unternehmen erkennen wir, dass die Verwirklichung dieser Vision den Aufbau sicherer Produkte erfordert, die Menschen und Organisationen überall einfachen und sicheren Zugang ermöglichen.
Wir erkennen auch an, dass die Daten, die wir besitzen – sowohl unsere eigenen als auch die unserer Kunden und Partner – und die Bedeutung unserer Produkte uns zu einem Ziel für Cyberangreifer machen.
Der Aufbau einer Sicherheitskultur ist eine Möglichkeit, unser gesamtes Unternehmen auf die nächste Stufe zu heben, deren Auswirkungen weitreichend sein werden – von einer effizienteren Entwicklung sichereren Codes in sichereren Produkten bis hin zu einer größeren Resilienz gegen die Angriffe, denen wir uns jeden Tag stellen.
Gemeinsam vorwärts, zusammen
Aber der Aufbau einer Sicherheitskultur ist kein Projekt, das über Nacht abgeschlossen wird, und es ist keine Aufgabe, die man einmal einrichtet und dann vergisst; vielmehr ist es ein langfristiger, fortlaufender Prozess, der kollektive Veränderungen und konzertierte Anstrengungen erfordert.
Indem wir Oktas Ansatz und unsere Experience so transparent wie möglich teilen, hoffe ich, Ihnen zu helfen, auf Ihrer eigenen Journey voranzukommen.
Die Risiken, denen heutige Unternehmen ausgesetzt sind, sind einfach zu groß, um ignoriert zu werden, und können nicht allein durch Technologie bewältigt werden.
Und ich glaube, dass wir durch das gemeinsame Beschreiten dieses Weges – durch den Austausch von Ideen und Erkenntnissen, Erfolgen und Ausfällen, Herausforderungen und Lösungen – kollektive Fortschritte erzielen können.
Denn wenn es um den Kampf gegen die Cyberkriminalität geht, sitzen wir doch alle in einem Boot.
Mehr erfahren darüber, wie Okta gegen Identity-basierte Angriffe kämpft.
