Evolution und Automation des Sicherheitsprogramms für Firmen
image of banner
Zurück

Evolution und Automatisierung des Unternehmensprogramms zur Sicherheits-Awareness

Die Menschen sind die Schlüsselkomponente aller Unternehmensprozesse. Dennoch können menschliche Fehler, ihre Fahrlässigkeit oder vorsätzliche Handlungen die Sicherheit des Unternehmens dramatisch beeinträchtigen. Die meisten Ursachen der Sicherheitsvorfälle hängen mit der mangelhaften Sensibilisierung, Verantwortung und Motivation zusammen. Der Aufbau eines soliden Unternehmensprogramms für die Sicherheits-Awareness ist notwendig – mehr Informationen zu dem Thema folgen in unserem neuen Artikel von Volodymyr Buldyzhov, IT-Sicherheitsexperten bei Infopulse.

Cyber-Ethische Gesundheit als Evolution der Sicherheits-Awareness und des Sicherheitsverhaltens im Unternehmen

Wenn Sie Ihr Informationssicherheitsprogramm aufbauen wollen, müssen Sie eine einfache Frage beantworten: Sind die regelmäßigen IT-Sicherheitsmaßnahmen ausreichend, um die erforderlichen Sicherheitsstandards im Unternehmen zu gewährleisten? Die Antwort wäre einfach: Nein, das sind sie nicht. Wenn Sie die Unternehmenssicherheit effektiv managen wollen, müssen Sie auch die Sicherheit und die Awareness des Personals stärken. Diese Prozesse werden oft von den Unternehmen vernachlässigt, da sie viel Zeit und Aufwand erfordern und einen Beitrag von Psychologen, Ergonomen, grafischen Designern, Textern, Sprechern und so weiter benötigen. Gleichzeitig sind die Sicherheit und die Awareness des Personals laut den internationalen Sicherheitsstandards und -normen ein Muss.

Im Allgemeinen ist die eigentliche Ursache eines Sicherheitsvorfalls ein menschlicher Fehler oder Fahrlässigkeit, da irgendwelche Sicherheitsvorfälle oder schädliche Aktivitäten nur bei der Kombination von zwei Faktoren möglich sind: Schwachstelle und Bedrohung. Jede Anfälligkeit beruht auf einem Defekt in Systemen oder Prozessen, der wiederum immer durch Fehler oder Mängel verursacht wird.

Deshalb ist die Sicherheits-Awareness und das Trainingsprogramm ebenso wichtig wie die IT-Sicherheit, wenn nicht sogar noch wichtiger. Leider befolgen viele Unternehmen die traurige Tradition, die Informationssicherheit nur den Fachleuten anzuvertrauen, die kein Verständnis von Personalressourcen oder Psychologie haben können. Dies führt zur Missachtung der Sicherheitsbewusstseinsprobleme, da technische Fachleute nicht über das erforderliche Wissen verfügen, um mit ihnen umzugehen.

Die Sicherheits-Awareness entwickelt sich, und moderne Best Practices betrachten umfassendere Konzepte und zählen das Personalverhalten dazu. Wir glauben, dass die Bewältigung der Sicherheitsvorfälle in den Köpfen der Mitarbeiter ansetzen sollte, d.h. vor der Stufe der Verhaltenskontrolle. In Analogie zum populären Konzept der Cyber-Hygiene, das sich hauptsächlich auf die IT-Sicherheit bezieht, schlagen wir das Konzept der Cyber-Ethischen Gesundheit vor, das sich auf die “Personalverhärtung” oder die “menschlichen Firewalls” bezieht. Die Cyber-Ethische Gesundheit ist mindestens genauso wichtig wie die IT-Sicherheit, um das sichere Bestehen Ihres Unternehmens zu erreichen und entsprechend zu pflegen.

Ziele des des Prozesses und des Programms zur Sicherheits-Awareness

ISF Standard of Good Practice (SoGP), eine Sammlung nützlicher Rahmenbestimmungen für den Aufbau eines umfassenden Informationssicherheit-Managementsystems, hat eine detaillierte  Beschreibung der Sicherheits-Awareness. Lassen Sie uns die wichtigsten Ziele und Prinzipien des Sicherheits-Awareness-Programms betrachten.

Laut ISF ist das Sicherheits-Awareness-Programm die Hauptstrategie für die Sicherheitssensibilisierung im Unternehmen.

Der Sicherheits-Awareness-Prozess ist mit dem Event- und Incident-Management, dem Konfigurations-Management, der sicheren Softwareentwicklung und vielen anderen sicherheitsrelevanten Prozessen verbunden.

Die primären Ziele des Sicherheits-Awareness-Programms sind die folgenden:

  • Sensibilisierung bezüglich der Informationsrisiken und der Informationssicherheit im gesamten Unternehmen.
  • Minimierung der Informationsrisiken und Verringerung der Häufigkeit und des Umfangs von Informationssicherheitsvorfällen im gesamten Unternehmen.
  • Etablierung des positiven Sicherheitsverhaltens von Einzelpersonen im gesamten Unternehmen.
  • Ermächtigung der Einzelpersonen, effektive risikobasierte Entscheidungen zu treffen (z. B. durch die “Stop and think”-Haltung, wenn sie mit einer ungewohnten oder komplexen Geschäftssituation konfrontiert werden, bei der Risiken identifiziert werden und vor dem Handeln abzuwägen sind).

Drei folgende Prinzipien der Sicherheits-Awareness-Strategie sind Ihre Schlüsselfaktoren für die Verringerung der Sicherheitsvorfälle und die Erhöhung des Vertrauens und der Loyalität:

  • Angemessenes Bildungsniveau
  • Sensibilisierung
  • Motivation

Um sich auf das Verhalten der Mitarbeiter konzentrieren zu können, nutzen das Sicherheits-Awareness-Programm und die Sensibilisierungskontrollen verschiedene Motivationsmethoden sowie die richtigen Momente und Orte, um die Erwartungen des Unternehmens an die Mitarbeiter heranzutragen, wie z. B. die Einarbeitung oder Vorfall-Follow-ups.

Da die meisten Sicherheitsvorfälle interne Ursachen haben, ist die Sicherheits-Awareness eine der kostengünstigsten proaktiven Sicherheitsmaßnahmen.

Sicherheits-Awareness schulen

Infopulse achtet immer auf die Sicherheits-Awareness. Wir verbessern ständig die Sensibilisierungsmethoden, -technologien und -prozesse. Von Beginn der Firmengeschichte an wurde das interne Sicherheitsbewusstsein durch Schulungen und Tests für die neuen Mitarbeiter, regelmäßige Tests für alle Mitarbeiter und extra Trainings für spezifische Probleme in Angriff genommen.

Vor 2013 waren die neuen Mitarbeiter bei Infopulse verpflichtet, die Sicherheitsprüfung im Trainingszentrum des Unternehmens zu bestehen. Allerdings war die Durchführung von Sicherheits-Workshops im Kursunterricht sowohl für die Mitarbeiter und als auch für die Ausbilder unpraktisch. Aus diesem Grund haben wir einen internen Online-Multimedia-Sicherheitskurs für die neuen Mitarbeiter entwickelt und implementiert, was den Arbeitsaufwand für unsere Trainer und den Zeitaufwand für die Mitarbeiter, den sie für Schulungen und Tests aufbringen mussten, erheblich reduziert hat. Mit dem neuen Kurs, der von professionellen Sprechern gemacht wird, kann man das Sicherheitstraining online absolvieren.

[Ein Screenshot aus dem internen Kurs zum Sicherheits-Awareness-Test]

Tests sind die beste Lernmethode, da man neue Informationen besser unter Stress aufnimmt. Unsere neuen Mitarbeiter haben unbegrenzte Anzahl der Testversuche frei, bis sie anständige Ergebnisse erzielt haben. Dies verbessert die Trainingsqualität und trägt zur Automatisierung des Sicherheits-Awareness-Trainings bei.

Allerdings kann man die Sicherheits-Awareness nicht nur einmal schulen und davon ausgehen, dass sich die Leute immer daran erinnern werden.

Management und Automatisierung des Sicherheits-Awareness-Prozesses

Sicherheitsprobleme entstehen immer in den am meisten unerwarteten Momenten. Im Laufe der Zeit neigen die Menschen dazu, Sicherheitsanforderungen zu vergessen und Sicherheitsmeldungen zu ignorieren. Die Mitarbeiter sollten immer bereit sein, ihr Wissen regelmäßig aufzufrischen. Da bei Infopulse über 1.300 Fachleute arbeiten und viele von ihnen seit vielen Jahren bei uns tätig sind, mussten wir einen anderen Ansatz entwickeln, um ihre Awareness ebenfalls zu verbessern.

Im Oktober 2016 haben wir die Entwicklung unseres standardmäßigen automatisierten Prüfsystems abgeschlossen. Dieses System umfasst mehr Themen und ist komplexer als das Sicherheitsprüfsystem für die neuen Mitarbeiter. Das Scoring-System ist anders, da die Testfragen mehr als nur eine richtige Antwort enthalten können. Die Mitarbeiter haben fünf Versuche frei, weitere Versuche erfolgen manuell bei dem Awareness-Manager. Die Fragen und Antworten werden regelmäßig überprüft und aktualisiert.

Die Kernfunktionen des Systems sind die E-Mail-Benachrichtigungen und die MS-SharePoint-Liste, mit deren Hilfe man Testpläne, Statusmeldungen und Ergebnisse verfolgen kann.

Untenstehend finden Sie eine kurze Beschreibung unseres Testmanagement-Prozesses. Die Prozessschritte sind automatisiert:

  • Ermittlung der Mitarbeiter, die die Tests durchlaufen müssen
  • Aufnahme der Mitarbeiter in die SharePoint-Liste
  • Festlegung und Zuordnung des Fälligkeitsdatums für jeden Mitarbeiter
  • Benachrichtigung jedes Mitarbeiters über die Frist, innerhalb der die Tests bestanden werden müssen
  • Auflistung der Mitarbeitern, die die Tests erfolgreich bestanden haben
  • Erinnerung an die Tests und die Frist
  • Ermittlung und Beobachtung der Mitarbeiter, die die Tests verpasst haben oder nicht ordnungsgemäß bestehen konnten
  • Benachrichtigung der direkten Vorgesetzten dieser Mitarbeiter über die schlechten Ergebnisse
  • Weitergabe der Informationen über die verantwortlichen Manager und die Mitarbeiter mit schlechten Ergebnissen an die weiteren Vorgesetzten / Gruppenleitern

Durch die erfolgreiche Umsetzung des Testmanagement-Prozesses bleiben nur wenige manuelle Operationen übrig, z. B. die Systemwartung, das Mailing an die getesteten Personen und deren Manager und die Erstellung der Liste derjenigen, die nach allen Kontrollinstanzen durchgefallen sind, die Bearbeitung der Ausnahmen, die Verfolgung der Prozessverbreitung und der Testergebnisse.

Mit Hilfe der implementierten Testsysteme konnten wir die Statistiken sammeln und alle Prozessparameter analysieren, einschließlich der realen Sicherheits-Awareness des Personals im Unternehmen (sowohl neue als auch bestehende Mitarbeiter). Dadurch können wir die Verteilung der erfolgreichen Testergebnisse im Zeitverlauf bei der ersten Prüfung und bei den nachfolgenden Tests beobachten. Wir können Statistiken aus allen Abteilungen sammeln und die Abteilungsleiter dazu motivieren, ihre Indikatoren zu verbessern. Die Hauptmotivation für unsere Mitarbeiter ist das Verständnis der Bedeutung der Informationssicherheit für unser Unternehmen und unsere Kunden. Unsere Mitarbeiter übernehmen persönliche Verantwortung für die Sicherheit und für die Kenntnis der Sicherheitsregel und -praktiken. Schließlich will niemand das Schlusslicht sein, wenn es zum Vergleich mit anderen Abteilungen kommt.

[Interner Kurs zum Sicherheits-Awareness-Test und seine Ergebnisse]

Zusammenzufassend lässt sich sagen, dass die Ergebnisse des Projektes beeindruckend waren. Bei den automatischen Erinnerungen und Eskalationen sowie minimalen manuellen Bemühungen von unserer Seite zeigten die meisten unserer Mitarbeiter fast 100% erfolgreiche Ergebnisse.

Empfehlungen zum Aufbau eines umfassenden Sicherheits-Awareness-Programms

Obwohl automatisierte Schulungen und Tests eine der effektivsten Sensibilisierungskontrollen sind, empfehlen wir, regelmäßig verschiedene Sensibilisierungsverfahren durchzuführen:

  • Unterzeichnung der Verpflichtungserklärungen (Sicherheitsrichtlinien, ethische Unternehmensrichtlinie, Geheimhaltungsvereinbarungen, Schutz personenbezogener Daten, Urheberrechtsbestimmungen und -vereinbarungen usw.)
  • Sicherheitswarnungen während des Vorstellungsgesprächs
  • Beachtung der Sicherheitsaspekte bei den Aufgaben und Aufgabenbeschreibungen
  • Verhaltenshinweise für die Führungskräfte der Mitarbeiter
  • Sicherheitstrainings und -tests während der Einarbeitungsphase
  • Regelmäßige Sicherheitstrainings und -tests anhand interner Sicherheitsrichtlinien
  • Individuelle Sicherheitstrainings und -tests für verschiedene Benutzerprofile (Softwareentwickler, Marketing und Vertrieb, Buchhaltung etc.)
  • Individuelle Sicherheitstrainings und Fragebögen zu bestimmten Themen
  • Sicherheitstrainings und -tests bei Bedarf (z. B. Vorfall-Follow-ups)
  • Management-System zu den Sicherheitstrainings und -tests mit automatisierten Erinnerungen und Benachrichtigungen
  • Sicherheits-Blog
  • Sicherheits-Mailing-Aktionen (Ankündigungen, Schwachstellenwarnungen)
  • Handout-Materialien (Flyer, Broschüren)
  • Gedruckte Plakate und Banner
  • Sicherheitsforschungsgemeinschaften und -rundmails
  • Projektspezifische Sicherheitstrainings und -tests
  • Elektronische Plakate und Banner (als Ersatz für die Web-Werbebanner)
  • Andere Aktivitäten (Umfragen, Spiele, Wettbewerbe usw.)

Unsere Sicherheit-Awareness-Prozesse haben gute Ergebnisse gezeigt und werden weiterhin verbessert und entwickelt. Da wir unsere Organisationsstruktur und die Qualität unserer Schulungen und Tests kontinuierlich verbessern, steigt die Performance unserer Sicherheits-Awareness-Prozesse. Die flächendeckende Durchführung der Trainings und Tests sowie die Testergebnisse der Mitarbeiter wurden verbessert. Generell entwickelt Infopulse ständig die Sicherheits-Awareness- und Verhaltensprogramme und hilft seinen Kunden, das Bewusstsein, die Verantwortung und die Motivation der Mitarbeiter zu schärfen, um Sicherheitsvorfälle und -risiken zu eliminieren.

Wir würden jedem Unternehmen und jeder Organisation empfehlen, ein Sicherheits-Awareness-Programm als Schlüsselkomponente für Ihre interne Sicherheit zu entwickeln. Die Cyber-Ethische Gesundheit ist wirklich wichtig für den Erfolg Ihres Unternehmens!

Weitere Artikel

Wir haben eine Lösung für Ihre Anforderungen. Senden Sie uns einfach eine Nachricht, und unsere Experten werden sich so schnell wie möglich mit Ihnen in Verbindung setzen.

Bitte spezifizieren Sie Ihre Anfrage

Vielen Dank!

Wir haben Ihre Anfrage erhalten und werden Sie in Kürze kontaktieren.