Eine offene und anpassungsfähige Sicherheitskultur schaffen - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS

Eine offene und anpassungsfähige Sicherheitskultur schaffen

AWS hat die Erkenntnis gewonnen, dass unsere Kunden und unsere internen Teams am erfolgreichsten sind, wenn Sicherheitsteams ihr Unternehmen und seine Entwickler unterstützen und eine Kultur fördern, in der alle Stakeholder zusammenarbeiten und eskalieren, um einen agilen, reaktionsschnellen Sicherheitsstatus aufrechtzuerhalten. Obwohl die Verbesserung der Sicherheitskultur Ihres Unternehmens nicht Gegenstand dieses Dokuments ist, können Sie relevante Informationen von nicht mit Sicherheitsaufgaben betrauten Mitarbeitern erhalten, wenn das Sicherheitsteam offen für Feedback ist. Wenn Ihr Sicherheitsteam offen und empfänglich ist und von der Führung unterstützt wird, stehen die Chancen für zusätzliche, zeitnahe Benachrichtigungen, Zusammenarbeit und Reaktionen auf Sicherheitsereignisse besser.

In einigen Organisationen müssen Mitarbeiter eventuell mit Maßregelung rechnen, wenn sie ein Sicherheitsproblem melden. Manchmal wissen sie einfach nicht, wie sie ein Problem melden sollen. In anderen Fällen möchten sie möglicherweise keine Zeit verschwenden oder sie haben Angst, einen Sicherheitsvorfall zu melden, der sich später als unbedenklich herausstellt. Das Führungsteam muss eine Kultur der Anerkennung fördern und alle in die Sicherheit der Organisation einbinden. Stellen Sie klar, über welche Kanäle Tickets mit hohem Schweregrad eingereicht werden können, wenn der Verdacht auf ein potenzielles Risiko oder eine Bedrohung vorliegt. Begegnen Sie diesen Benachrichtigungen offen und unvoreingenommen und fordern Sie vor allem nicht mit Sicherheitsaufgaben betraute Mitarbeiter auf, derartige Benachrichtigungen zu begrüßen. Betonen Sie, dass Sie lieber massenweise über mögliche Probleme informiert werden, als überhaupt keine Benachrichtigungen zu erhalten. Für einen Entwickler ist es immer besser, eigene Fehler einzugestehen, als abzuwarten, bis Dritte in einem öffentlichen Artikel auf das Problem hinweisen.

Diese Meldungen sind eine wertvolle Gelegenheit, schnelle Untersuchungen unter Druck zu üben. Sie können als wichtige Feedback-Schleife bei der Entwicklung Ihrer Reaktionsverfahren dienen.