In dieser Ausgabe von Ask the Expert sprechen wir mit Christoph Ratavaara, Information Security Officer bei isolutions AG, einem führenden Microsoft-Partner in der Schweiz, der digitale Arbeitsumgebungen schafft, die die Kreativität fördern, intelligente Zusammenarbeit ermöglichen und positive Kundenerfahrungen schaffen. Christoph gibt Einblicke, wie er das ahead Intranet nutzt, um Cybersecurity-Risiken effektiv zu kommunizieren, die Herausforderungen der internen Informationssicherheitskommunikation zu meistern und eine starke Sicherheitskultur aufrechtzuerhalten, insbesondere in einer Remote-Arbeitsumgebung.
Christoph, könntest du uns mehr zu deiner Rolle bei isolutions verraten?
Als Information Security Officer der isolutions AG bin ich für die Informations- & Cybersicherheit unserer Organisation verantwortlich. Ich bin das Bindeglied zwischen den verschiedenen Bereichen IT, Security und Business. Zu meinen Aufgaben gehören unter anderem die Planung & Umsetzung von technischen und organisatorischen Massnahmen, Risiko Assessments, Schutz vor und Umgang mit Bedrohungen und Vorfällen sowie eine der wichtigsten Komponenten: Die Etablierung einer Sicherheitskultur.
Welche Strategien hast du implementiert, um die Mitarbeiter regelmässig über Cybersecurity Risiken und Best Practices zu informieren?
Ich nutze unser ahead-Intranet als Kommunikationskanal für kurzfristige und dringende Mitteilungen an alle Mitarbeitenden, um beispielsweise vor einer bevorstehenden Phishing-Kampagne zu warnen, sowie für die offizielle Kommunikation bei Änderungen oder neuen Richtlinien und Vorgaben. Ebenso dient mir ahead als wichtigste Basis für unsere Awareness-Kampagnen sowie für regelmässige Security-Newsletter mit verschiedenen Inhalten zu den Themen Informations- und Cybersicherheit, um alle Mitarbeitenden sowie unsere Fachexperten auf dem Laufenden zu halten.
Was sind, deiner Meinung nach, die grössten Herausforderungen bei der internen Kommunikation zum Thema Informationssicherheit?
Einer der wichtigsten Erfolgsfaktoren ist der Mensch. Wenn alle technischen Maßnahmen versagen, ist es meist der Mensch, der die nächste Entscheidung trifft. Wenn dieser nicht oder falsch informiert ist oder kein Bewusstsein für das Thema Sicherheit und Schutz hat, kann es zu Vorfällen kommen, die mit einfachen Mitteln hätten verhindert werden können. Informationssicherheit ist oft ein abstraktes, komplexes und auch technisches Thema. Eine klare und stufengerechte Kommunikation ist entscheidend, aber nicht immer leicht zu erreichen. Es kann sehr zeitaufwendig sein, die richtige Zusammensetzung zu finden, ohne sich in langen Erklärungen zu verlieren. Als Autor bietet mir ahead eine umfassende, aber einfache und schnelle Möglichkeit, das Intranet zu nutzen, die es mir erlaubt, zeitnah und stufengerecht mit allen zu kommunizieren. Ich muss mich nicht mit der Technik herumschlagen, sondern kann mich auf den Inhalt konzentrieren. Die Statistiken zeigen mir, wie die Informationen ankommen, und die Kommentarfunktion ermöglicht es allen, Feedback zu geben und direkt mit meinem Beitrag zu interagieren.
Kannst du ein Fallbeispiel beschreiben, bei dem du und dein Team erfolgreich über Informationssicherheit kommuniziert/ein Sicherheitsproblem angegangen seid?
Seit zwei Jahren führen wir einen Cybersecurity Awareness Month durch, für den wir ahead als Basis nutzen. Mit der Kampagnenfunktion können wir alle Beiträge und Events unserer Awarenesskampagnen verknüpfen und den Mitarbeitenden zur Verfügung stellen. Wir nutzen ahead von Anfang bis Ende der Kampagne, zu Beginn um den Cybersecurity Awareness Monat mit allen Events und Informationen bekannt zu machen, während des Kampagnenmonats für Stories & Beiträge und die Interaktion mit den Mitarbeitenden und zum Abschluss mit der Bereitstellung aller entstandenen Inhalte.
Wie können interne Kommunikationsstrategien angepasst werden, um eine starke Sicherheitskultur bei Mitarbeitenden zu erhalten, die remote arbeiten, oder bei gewerblichen Mitarbeitenden?
Bei der Informationsflut, der wir alle täglich ausgesetzt sind, muss das Thema Informationssicherheit & Awareness immer wieder aktiv angesprochen werden. Innerhalb der Kommunikationsstrategie sollte es regelmässige, wiederkehrende und wiedererkennbare Formate geben. Dabei ist es wichtig, die eigene Kommunikation regelmässig kritisch zu hinterfragen, ob sie stufengerecht ist und von den Mitarbeitenden auch gelesen und ernst genommen wird, ansonsten müssen Anpassungen oder neue Formate entwickelt werden. Letztlich funktioniert ein gutes Format nicht ewig, es braucht auch Abwechslung, Interaktion und was immer hilft ist, wenn Mitarbeitende einen privaten Nutzen aus etwas ziehen können und es nicht nur im beruflichen Kontext stattfindet. Wer über Kommunikations- und Change-Experten verfügt, sollte diese unbedingt als Unterstützer und kritische Reviewer einbeziehen.
Welche Tools oder Technologien verwendest du zu diesem Zweck?
Ich benutze unser ahead Intranet als Basis für die gesamte Kommunikation. Andere Tools, die ich verwende, sind Deepl zum Schreiben und Übersetzen von Texten und Midjourney als Bildgenerierungs-KI für Beiträge und Kampagnen.