DEX einführen: Ein Schritt nach dem anderen
Die digitale Erfahrung von Mitarbeitenden (Digital Emploee Experience – DEX) ist für Unternehmen ein heißes Thema geworden. Und das ist auch verständlich, wenn man bedenkt, dass 65 % der Mitarbeitenden sagen, dass sie produktiver wären, wenn sie eine bessere Technologie zur Verfügung hätten.
Aber um die Investition zu sichern, müssen Sie darlegen, wie Ihr Unternehmen sowohl kurz- als auch langfristig profitieren kann. Aus diesem Grund haben sich Chris Goettl, VP of Security Product Management, und Robin Rowe, Senior Product Manager, zusammengeschlossen, um eine Schritt-für-Schritt-Anleitung für die Planung und Messung von DEX in Ihrem Unternehmen zu erstellen.
Die Bedeutung des Gleichgewichts zwischen Benutzerfreundlichkeit und Sicherheit
Pat Ziembicka Das Thema digitale Mitarbeitererfahrung wird schon seit geraumer Zeit diskutiert – seit ein paar Monaten, und es wird immer wichtiger. Aber sehr oft wird es als diese große Initiative angesehen, etwas, für das Sie wirklich viel Geld ausgeben und eine Menge Ressourcen einsetzen müssen. Aber das muss nicht sein. Es kann genau so gut ein roter Faden sein, den Sie in Ihre täglichen Abläufe einbauen, um Ihre täglichen IT-Ops und Sicherheitsmaßnahmen zu verbessern.
Bevor wir uns mit den einzelnen Schritten befassen, wie Sie diesen gestaffelten Ansatz verfolgen können, lassen Sie uns den ganzen Komplex betrachten. In unserem DEX-Bericht von Mitte letzten Jahres haben wir unter anderem festgestellt, dass fast 50 % der Führungskräfte auf C-Level in den letzten 12 Monaten tatsächlich die Umgehung von Sicherheitsmaßnahmen gefordert haben. Also, Chris, was denken Sie darüber?
Chris Goettl Oftmals stehen diese beiden Dinge im Widerspruch zueinander. Denken Sie daran, dass die meisten Sicherheitsvorkehrungen dazu dienen, die Vorgänge in der Umgebung einzuschränken oder zu kontrollieren, und das aus gutem Grund. Ich meine, das sind die Dinge, die von Angreifern genutzt werden, um die Infrastruktur anzugreifen.
Wir wollen also Maßnahmen ergreifen, um sicherzustellen, dass Chris nur Zugang zu den Dingen hat, zu denen er auch Zugang haben sollte. Er sollte nicht auf etwas zugreifen können, auf das Robin Zugriff hat, weil es eine Aufgabentrennung gibt und es Informationen gibt, die wir getrennt halten wollen. Wir müssen deshalb vielleicht Dinge einbauen wie bessere Kontrollen für den Zugriff auf Dateien oder die Möglichkeit, Dinge als Administrator auszuführen. All diese Dinge sollten eingeschränkt werden, weil sie unsere Umgebung unsicherer machen.
Denken Sie an Passwörter, ein gutes Beispiel. Jeder hasst Passwörter. Viele Menschen machen sie gerne sehr einfach und wiederholbar, damit sie sich nicht so viel merken müssen. Wenn Sie wie ich sind, setzen Sie sogar bei Ihrer eigenen Familie eine Passwortrichtlinie durch. Meine Kinder und meine Frau mögen es nicht, dass ich sie dazu zwinge, für alles ein eigenes Passwort zu haben, und dass sie all diese Dinge tatsächlich verwalten müssen. Oftmals wird das Benutzererlebnis durch strengere Sicherheitsmaßnahmen erschwert.
Wenn ich eine strengere Passwortrichtlinie einführe, kann ich dafür sorgen, dass Sie Ihr Passwort nicht wiederverwenden können, dass es länger ist, dass Sie Sonderzeichen, Großbuchstaben und Kleinbuchstaben verwenden, dass Sie es nicht wiederverwenden können und dass Sie es alle 90 Tage ändern müssen. Nun, das frustriert Ihre Benutzer. Sie werden also einen Weg finden, dies zu umgehen. Das Gleichgewicht zwischen dem Benutzererlebnis und der Art und Weise, wie wir dieses Erlebnis absichern, ist ein ständiger Kompromiss.
Und ich denke, das Interessanteste daran ist, dass einer der Sicherheitsexperten hier ist, um über DEX zu sprechen, also über die digitale Erfahrung. Dies ist genau das Problem, über das wir auch sprechen wollen.
Je mehr Sie in puncto Sicherheit tun, desto mehr könnten Sie Ihr digitales Erlebnis beeinträchtigen. Und eines der interessantesten Dinge, die ich über DEX denke und über die wir heute sprechen möchten, ist wie DEX uns einen Einblick in diese Dinge gibt, so dass wir die Sicherheit und das gesamte digitale Erlebnis gemeinsam verbessern können.
Robin Rowe: Sicherheit und operativer Betrieb sind in dieser Hinsicht horizontal entgegengesetzt. Diese Reibung kann auftreten, wenn die Nutzung der Flexibilität in der Produktivität durch die strengen Sicherheitsrichtlinien beeinträchtigt wird oder umgekehrt, um die Sicherheit zu erhöhen, durch die Frustration von Führungskräften über Produktivitätsprobleme durch das Außerkraftsetzen oder Umgehen dieser Richtlinien beeinträchtigt wird. Aber gleichzeitig sind Sicherheit und Betrieb auf verschiedenen Ebenen untrennbar mit dem digitalen Erlebnis verbunden.
Was zunächst zählt, ist die Einsicht. DEX beginnt tatsächlich mit den Daten, und die Daten können in zwei Kategorien fallen. Die erste Kategorie sind die Dinge, die für den Benutzer von Bedeutung sind, die Dinge, die dem Benutzer wichtig sind. Es handelt sich dabei um Probleme, die den Benutzenden tatsächlich durch Symptome beeinträchtigen, die er wahrnimmt – das können Dinge wie lange Buchungszeiten, Anwendungsabstürze oder eingefrorene Rechner sein.
Und wenn wir über die Beziehung zur Sicherheit nachdenken, könnten diese Symptome durch eine kürzliche Sicherheitsänderung ausgelöst worden sein. Es könnte einen neuen Patch geben, eine Richtlinienänderung, eine neue Sicherheitssoftware, die einen Treiberkonflikt verursacht. DEX-Tools können uns dabei helfen, diese neu auftretenden Symptome zu identifizieren und nicht nur das. Sie können auch das Ausmaß des Problems aufzeigen, wie viele Benutzer betroffen sind und den Support- und Sicherheitsteams dabei helfen, diese Symptome mit den Änderungen in Verbindung zu bringen.
DEX bietet auch die Möglichkeit, Nutzende zu befragen, was sich als sehr nützlich erweisen kann, um den Puls der technologischen Probleme zu fühlen. Es handelt sich also um Dinge, die vielleicht nicht automatisch erkannt wurden oder die keine Tickets von Nutzenden auslösen. Aber das gibt den Sicherheits- und Betriebsteams einen frühzeitigen Einblick, so dass sie die Nutzenden möglicherweise zu einer kürzlich erfolgten größeren Änderung befragen können, zu einem großen Update, das vielleicht Teil einer Strategie für Umstellungen im Bereich der Sicherheit ist.
Ich hatte vor kurzem ein Gespräch mit einem CISO, und er ist wirklich begeistert vom Potenzial von DEX. Der Sicherheit wird oft standardmäßig die Schuld gegeben – wenn etwas schief geht, muss es an der Sicherheitsstrategie liegen. Es war also nicht nur ein Weg für ihn und sein Team, die Auswirkungen ihrer Maßnahmen zu messen, sondern es ist auch ein Weg, falsch positive Ergebnisse abzuwehren, die sein Team belasten.
Bei der zweiten Kategorie von Daten handelt es sich um Daten, die sich auf den allgemeinen Zustand des Geräts beziehen. Aus der Sicherheitsperspektive könnte es sich um Cyber-Hygiene, fehlende Patches, EDR, nicht laufende Malware-Software, fehlende Mitarbeitende und dergleichen handeln.
Und diese Art von Dingen sind nicht die Dinge, die die Nutzenden direkt interessieren. Sie haben keine direkten Auswirkungen auf die Nutzenden. Aber das sind alles Dinge, die Sie abfangen und aus der DEX-Perspektive reparieren wollen, denn wenn Nutzende ein Problem im Zusammenhang mit diesen Dingen hat, eine Art Sicherheitsproblem, dann könnte das zu einem großen Erfahrungsproblem führen, entweder durch das Problem selbst oder als Ergebnis der erforderlichen Abhilfemaßnahmen, bei denen er oder sie das Gerät neu installieren oder ersetzen muss.
Chris Goettl: Die Tatsache, dass Sie mit einem CISO über digitale Erfahrungen sprechen, ist wirklich gut. Stellen Sie sich das so vor: Wenn der CISO eine neue Richtlinie einführen möchte, kann er mit DEX feststellen, wie stark sich diese Richtlinie auswirkt. Sie können das vielleicht an den Ticketvolumen sehen, die daraus entstehen. Während wir also diese neue Technologie einführen, könnten wir die Pilotgruppe, die wir dafür verwenden, sehr genau beobachten und sehen, wie sich diese Änderung auf diese Gruppe auswirkt.
Wenn man das gut macht, sollten Sicherheitsgruppen in der Lage sein, neue Technologien, Änderungen und Richtlinien einzuführen und einen besseren Einblick in diese Erfahrung zu bekommen, um letztendlich eine weitere Herausforderung zu vermeiden, die viele Unternehmen haben, nämlich die so genannte Schatten-IT: Wenn man anfängt, die Benutzer zu sehr zu behindern, werden sie Wege finden, diese Regeln zu umgehen.
Pat, die Zahl von 49 % der Führungskräfte auf C-Level, die absichtlich Sicherheitsmaßnahmen umgehen, ist also eine direkte Folge davon. Wenn dort eine ausgereifte DEX-Erfahrung im Spiel gewesen wäre, dann hätte das vermieden werden können. Sie hätten sich das ansehen und es so gestalten können, dass Sie das Benutzererlebnis verstehen und es verbessern.
Um noch einmal auf die Passwörter zurückzukommen: Eine großartige Technologie, die versucht, das Passwort-Erlebnis zu verbessern, besteht darin, das Passwort ganz abzuschaffen. Denn es ist eine Schwachstelle in diesem digitalen Erlebnis. Niemand von uns möchte sich dreißig Passwörter merken. Niemand von uns möchte sie regelmäßig ändern.
Wenn wir also das Passwort abschaffen und andere starke Authentifizierungsarten wie Biometrie oder Zertifikate, das Telefon als Token verwenden können, können diese Dinge zum Authentifizierungsmechanismus werden. Und das macht es mir leichter. Ich scanne einen QR-Code, erhalte eine Push-Benachrichtigung und akzeptiere, dass ich mir kein Passwort mehr merken muss.
Wir schaffen ein großartiges digitales Erlebnis und verbessern gleichzeitig die Sicherheit. Mir gefällt die Richtung, in die wir gehen, und die Arten von Gesprächen, die sich daraus ergeben.
Die Vorteile von DEX
Pat Ziembicka: Chris, Robin erwähnte Patching als eine Komponente von DEX. Können Sie das näher erläutern und für unsere Zuhörenden vielleicht ein wenig Licht in die täglichen Vorteile für unsere IT-Sicherheitsteams bringen?
Chris Goettl: Denken Sie daran, dass dies etwas ist, mit dem Sie alle regelmäßig zu tun haben. Es müssen ständig Risiken identifiziert, Prioritäten gesetzt und diese Änderungen dann in die Umgebung übertragen werden. Es geht also um die Verwaltung von Sicherheitslücken und Risiken, die Behebung dieser Risiken und das Change Management.
Nur wenige Dinge führen zu so vielen Veränderungen wie die Patch-Verwaltung in der gesamten Umgebung. Eine Sache, die ich von vielen Unternehmen höre, ist, dass sie, sobald der Patch-Zyklus wieder ansteht, für die nächsten Wochen, in denen die Wartung läuft, ständig zur Zielscheibe von Vorwürfen werden. Und wir hatten im Laufe der Jahre eine Menge Spaß damit.
Wie ich bereits sagte, bin ich nun schon eine Weile in diesem Bereich tätig und habe unsere Technologien bei unseren Kunden vor Ort eingeführt. Es gab schon viele Fälle, in denen wir während des Arbeitstages Patches an eine kleine Gruppe von Anwendern verteilt haben und dann mit diesen gesprochen haben, um herauszufinden, wie sie reagieren.
Wir sprechen mit einer Person und fragen sie, wie es ihr ergangen ist, und sie sagt: „Oh ja, ihr müsst irgendetwas aktualisiert haben, denn jetzt ist alles kaputt.“ Und wir sagen: „Aber Sie waren gar nicht in der Gruppe, die die Updates erhalten hat.“ Also nein. Und bei der nächsten Person, die wir ansprechen, heißt es dann: „Oh ja, das ist eine der Personen, die wir gepatcht haben. Lassen Sie uns mit ihr reden.“
Sie antworten und sagen: „Oh ja, alles läuft reibungslos, alles läuft gut. Es ist alles großartig.“ Wir sagen: „Oh, wussten Sie, dass wir gerade Ihren Rechner gepatcht haben?“ Und die Antwort: „Ernsthaft? Ich habe nichts mitbekommen.“ Patching ist nicht der Grund für all die Dinge, die in der Arbeitsumgebung schief laufen. Doch die Menschen, die dafür verantwortlich sind, werden in dieser Zeit oft für alles verantwortlich gemacht.
Ebenfalls interessant: Wir haben einen Kunden, einen unserer frühen Anwender der Ivanti Neurons DEX-Erfahrung. Sie haben dies als Maß für den Erfolg der Patch-Zyklen in ihrem Unternehmen verwendet. Wenn sie die Patches herausgeben, haben sie alles vorbereitet – sie haben eine Pilotgruppe, mit der sie beginnen, es ist wie eine 1%-ige Stichprobe ihrer Umgebung. Dann gibt es noch eine Gruppe von „Early Adopters“, die weitere 9 % ihrer Umgebung ausmachen. Und dann gehen sie in die Produktion über, was der Rest dessen ist, was im Laufe einiger Wochen passiert. In den ersten 48 Stunden wird das erste 1 % gepatcht. Sie beobachten diese Gruppe sehr genau.
Mit DEX konnten sie einen viel tieferen Einblick in diese Vorgänge gewinnen, da die Informationen des Service Desks mit einbezogen wurden. Ich kann sehen, ob einer dieser Benutzer Tickets erstellt hat. Bezieht sich eines dieser Tickets auf die Dinge, die wir gerade aktualisiert haben? Wir können sehen, dass die Informationen zur Systemstabilität von den Mitarbeitenden und dem automtisierten System zurückkommen, die es da draußen gibt. Wenn Sie das sehen können, gibt es dann irgendwelche Abstürze? Gibt es noch andere Dinge, die dort passieren?
Die Bedeutung von DEX-Scoring für die Sicherheitsbemühungen
Pat Ziembicka: Wie hilft diese Bewertung der Sicherheit? Und lassen Sie mich noch hinzufügen: Wirken sich Sicherheitsdaten auf den DEX-Wert aus?
Chris Goettl: Ja, die Sicherheitsdaten können den DEX-Wert durchaus beeinflussen. Sie können eine Vielzahl verschiedener Informationen einbeziehen. Wenn wir uns das Patch-Beispiel etwas genauer ansehen, haben wir nicht nur Informationen über die Herstellerfreigabe, den Schweregrad und die CVSS-Scores für diese Sicherheitslücke. Über unsere risikobasierte Plattform zur Verwaltung von Sicherheitslücken verfügen wir auch über Daten zu den realen Risiken, die von den aufgedeckten Sicherheitslücken ausgehen. Wir können Ihnen sagen, ob es in Ihrer Umgebung eine Sicherheitslücke gibt, für die ein bekanntes Exploit existiert.
Eine interessante Tatsache ist, dass über 73 % der Sicherheitslücken, die von Ransomware-Angreifern genutzt werden, vom Softwarehersteller nicht als kritisch eingestuft werden. Das bedeutet, dass diese Sicherheitslücken, wenn Sie die Prioritäten auf herkömmliche Weise setzen, nach der Einschätzung des Anbieters und nach dem CVSS-Score eingestuft werden. Und diese können die realen Aspekte nicht sehr effektiv berücksichtigen;
Im Jahr 2021 hat Microsoft 23 Zero-Day-Sicherheitslücken behoben, von denen 15 aufgrund der Funktionsweise ihres Bewertungsalgorithmus nur als wichtig eingestuft wurden, obwohl Microsoft genau wusste, dass sie aktiv ausgenutzt wurden. Die meisten Unternehmen haben den falschen Sicherheitslücken Aufmerksamkeit geschenkt.
Wenn Sie in einem solchen Fall eine solidere Risikobewertung vornehmen, können Sie konkret aufzeigen, dass ein Gerät möglicherweise kritische Sicherheitslücken aufweist. Noch wichtiger ist jedoch, dass es drei wichtige Sicherheitslücken gibt, für die bereits Exploits bekannt sind und die bei Ransomware-Angreifern im Trend liegen. Das ist eigentlich die gefährlichere der beiden Varianten. Und durch die Bereitstellung eines robusteren Bewertungsalgorithmus und eines Einblicks in diesen Bereich, also indem man sich die Geräte in der Umgebung ansieht, kann man dem DEX-Score einen sehr umfassenden Sicherheitsaspekt hinzufügen.
Jetzt habe ich mehr Einblick in das reale Risiko des Geräts und kann dieses Risiko besser messen. Und wir haben Kunden, die davon tatsächlich sehr profitieren. Sie nutzen nicht nur, dass sie das tatsächliche Risiko für die Umgebung kennen und stellen sicher, dass sich ihre SLAs mehr auf die paar hundert Sicherheitslücken konzentrieren, die aktiv ausgenutzt werden, als auf die Tausenden, die existieren aber die man niemals alle erreichen wird. Sondern sie haben auch einen operativen Nutzen, dass sie sagen können, wenn sie Updates aufspielen.
Ich habe diesen Auftraggeber bereits erwähnt. Sein wichtigstes Ziel war die Risikominderung, nicht die betrieblichen Auswirkungen. Sie stellten fest, dass Tickets eröffnet wurden, dass Ausnahmen gemacht wurden und dass sie aufgrund der betrieblichen Auswirkungen langfristige Risiken in ihrer Umgebung eingingen. DEX hat ihnen die Transparenz verschafft, um das alles zu verstehen.
Sie sehen nicht nur eine Verringerung der betrieblichen Auswirkungen beim Patchen, sondern auch eine Verringerung des Gesamtrisikos für ihre Umgebung, weil sie effizienter arbeiten und die betrieblichen Auswirkungen reduzieren.
.
Rom wurde nicht an einem Tag erbaut – das Gleiche gilt für die Implementierung einer großartigen digitalen Mitarbeitererfahrung. Deshalb ist ein gestaffelter Ansatz bei der Investition in Ihre DEX der beste Weg, um Ihre IT- und Sicherheitsteams schnell zu unterstützen und Ihr Unternehmen für den zukünftigen Erfolg zu rüsten.
Um alle Einblicke zu erhalten, sehen Sie sich das vollständige Webinar an Eine schrittweise Anleitung zur Planung und Messung der digitalen Mitarbeitererfahrung (DEX).