Die Covid-19-Pandemie hat viele Sicherheitsherausforderungen mit sich gebracht. Unternehmen auf der ganzen Welt haben sich an die Arbeit von zu Hause und auf soziale Distanzierung angepasst und müssen sich gleichzeitig mit neuen Bedrohungen durch Cyberkriminelle auseinandersetzen, die Angst und Neugierde ausnutzen.
Obwohl sich Unternehmen diesen Herausforderungen gestellt haben, sind traditionelle Cyber-Bedrohungen so weit verbreitet wie nie zuvor, was zu einer zunehmend herausfordernden Bedrohungslandschaft führt.
Die Eindämmung menschlicher Fehler muss 2021 der Schlüssel zur Cybersicherheit von Unternehmen sein – und in diesem Leitfaden werden wir uns die besten Wege ansehen, um dies zu erreichen.
Unter den großen Cyber-Bedrohungen bleibt Malware eine bedeutende Gefahr. Der WannaCry-Ausbruch von 2017, der Unternehmen weltweit bis zu 4 Milliarden US-Dollar kostete, ist noch immer in Erinnerung, und täglich werden andere neue Malware-Stämme entdeckt. Auch Phishing erlebte in den letzten Jahren ein Wiederaufleben, wobei viele neue Betrügereien erfunden wurden, um ahnungslose Unternehmen auszunutzen. Nur eine Variante, der E-Mail-Betrug mit CEO Fraud, kostete 2018 allein britische Unternehmen 14,8 Millionen Pfund.
Mitarbeiter, die von zu Hause aus arbeiten, unterliegen nicht der direkten Aufsicht von IT-Supportteams und haben oft Schwierigkeiten, mit Cyber-Bedrohungen umzugehen und Unternehmensinformationen angemessen zu schützen. Das Versäumnis, Software und Betriebssysteme zu aktualisieren, Daten über unsichere Netzwerke zu senden und die zunehmende Abhängigkeit von E-Mail und Online-Messaging hat die Mitarbeiter viel anfälliger für Bedrohungen gemacht, die von Malware bis Phishing reichen.
Während technische Lösungen wie Spamfilter und Mobilgeräteverwaltungssysteme wichtig für den Schutz der Endbenutzer sind, ist die Anzahl der Bedrohungen und die Vielzahl von Systemen und Kommunikationen, über die Mitarbeiter ihre Arbeit ausführen, der einzige Risikofaktor, der angegangen werden muss, um die Sicherheit grundlegend zu verbessern ist die Rolle des menschlichen Versagens.
Fast alle erfolgreichen Cyber-Sicherheitsverletzungen haben eine gemeinsame Variable: menschliches Versagen. Menschliches Versagen kann sich auf vielfältige Weise manifestieren: von der nicht rechtzeitigen Installation von Software-Sicherheitsupdates bis hin zu schwachen Passwörtern und der Weitergabe sensibler Informationen bis hin zu Phishing-E-Mails.
Jetzt zugreifen: Das komplette Sicherheitsbewusstsein
Leitfaden 2021 [Kostenloses eBook] →
Im Jahr 2014 führte IBM eine Studie zu den Cyber-Verstößen durch, die bei Tausenden ihrer Kunden in über 130 Ländern aufgetreten sind. Diese Studie war die umfassendste Untersuchung der Ursachen von Cyber-Verstößen, die zu diesem Zeitpunkt durchgeführt wurde, aber ihre Ergebnisse wurden seitdem durch ähnliche Studien bestätigt.
Menschliches Versagen war bei 95 % aller Verstöße eine der Hauptursachen.
IBM Cyber Security Intelligence Index Report
Eines der wichtigsten Ergebnisse der IBM-Studie war, dass menschliches Versagen bei 95 % aller Sicherheitsverletzungen eine der Hauptursachen war. Mit anderen Worten, wenn menschliches Versagen nicht eine Rolle gespielt hätte, wären die Chancen, dass 19 von 20 in der Studie analysierten Verstößen überhaupt nicht aufgetreten wären.
Da menschliches Versagen bei Cyber-Sicherheitsverletzungen eine so große Rolle spielt, ist es entscheidend, diese zu beheben, um die Chancen zu verringern, dass Ihr Unternehmen erfolgreich angegriffen wird. Darüber hinaus können Sie Ihr Unternehmen vor einer viel größeren Bandbreite an Bedrohungen schützen, als es jede einzelne technische Lösung könnte - und Ihre Mitarbeiter möglicherweise in die Lage versetzen, aktiv nach neuen Bedrohungen zu suchen und sie zu melden. Die Eindämmung menschlicher Fehler muss 2021 der Schlüssel zur Cybersicherheit von Unternehmen sein – und im nächsten Abschnitt werden wir uns die besten Möglichkeiten ansehen, dies zu erreichen.
Damit sich menschliches Versagen manifestiert, müssen zwei Faktoren vorliegen:
Opportunität bedeutet, dass es Situationen gibt, in denen ein Mensch einen Fehler machen darf: zum Beispiel den Endbenutzern Software-Updates zu überlassen, anstatt Sicherheitsupdates mit Patch-Management zu erzwingen. Die Entscheidung ist das Handeln des Einzelnen: In diesem Fall das Fehlen von Maßnahmen bei der Installation von Sicherheitsupdates, wenn diese verfügbar sind.
Eine umfassende Minderungsanstrengung umfasst sowohl die Reduzierung der Fehlerwahrscheinlichkeit als auch die Verbesserung der Entscheidungen der Endbenutzer. Das Ergreifen von Maßnahmen in beiden Bereichen ist unerlässlich, um sicherzustellen, dass menschliche Fehler gründlich angegangen werden.
Beim Patching beispielsweise kann eine technische Maßnahme wie die Einführung eines Patch-Managements in den meisten Fällen die Möglichkeit menschlicher Fehler auf ein Minimum reduzieren – dennoch ist es wichtig, Situationen zu berücksichtigen, in denen die technischen Lösungen vorübergehend verfallen, oder wenn eine neue Situation wie eine BYOD-Richtlinie eingeführt wird, in der Benutzer ihre eigenen Geräte ohne Patch-Management verwenden dürfen.
In anderen Fällen, beispielsweise bei Phishing-E-Mails, haben technische Maßnahmen wie Spam-Filter und Software zur Erkennung von Sicherheitsverletzungen nur eine sehr begrenzte Wirkung, um die Fehlerwahrscheinlichkeit bei einem gezielten Angriff zu verringern. In diesen Fällen besteht die einzige wirksame Möglichkeit, menschliches Versagen zu mindern, darin, den Endbenutzern beizubringen, bessere Urteile zu fällen.
Damit Endanwender in einer Sicherheitssituation das richtige Urteil fällen können, müssen vier verschiedene Faktoren vorliegen.
4 Säulen zur Reduzierung menschlicher Fehler: |
|
Die erste davon ist ganz einfach: Der Benutzer muss erkennen, dass er sich in einer Situation befindet, in der die Sicherheit potenziell auf dem Spiel steht. Ohne die Situation als solche zu erkennen, erkennt der Benutzer möglicherweise nicht einmal, dass er durch seine Untätigkeit überhaupt eine Entscheidung trifft.
Zweitens muss der Benutzer wissen, was die richtige Vorgehensweise ist. Dies erfordert nicht unbedingt, dass der Benutzer die Bedrohung vollständig versteht, sondern ist oft so einfach wie die Meldung der Situation an eine Person in der IT- oder Sicherheitsabteilung, die sich damit befassen kann.
Drittens muss der Benutzer wissen, warum Sicherheit wichtig ist, damit er versteht, wie wichtig es ist, Sicherheitsverfahren nicht zu ignorieren, und sich der möglichen Auswirkungen einer Sicherheitsverletzung bewusst ist. Obwohl diese drei Faktoren alle für die Verbesserung der Sicherheitsergebnisse unerlässlich sind, geraten Unternehmen an diesem entscheidenden Punkt häufig ins Stocken. Damit in realen Situationen bessere Entscheidungen getroffen werden können, muss auch der vierte Faktor ins Spiel kommen: Schmerzvermeidung.
Probleme wie schwache Passwortsicherheit und Fehler beim Patchen von Software bestehen in Unternehmen auf der ganzen Welt, obwohl viele Computerbenutzer verstehen, warum diese Probleme für die Sicherheit von entscheidender Bedeutung sind. Der Grund, warum trotz Wissen nicht gehandelt wird, liegt in der sogenannten Schmerzvermeidung. Ein eindeutiges und starkes Passwort erfordert mehr Zeit zum Erstellen und mehr Aufwand zum Merken als ein kurzes, schwaches oder wiederverwendetes Passwort.
Jetzt zugreifen: Das komplette Sicherheitsbewusstsein
Leitfaden 2021 [Kostenloses eBook] →
Obwohl ein Benutzer es besser weiß, ist dieser „Schmerz“, der durch die Erstellung eines starken Passworts verursacht wird, oft stark genug, um den Benutzer dazu zu bringen, gegen sein bestes Urteilsvermögen zu handeln. Hinzu kommt, dass trotz vieler Benutzer, die unter optimalen Umständen die richtigen Maßnahmen ergreifen, geschäftige und dringende Arbeitssituationen sowie Stress Sicherheitsmaßnahmen für Benutzer noch „schmerzhafter“ machen können.
Dieser letzte Faktor kann nur durch einen Kulturwandel gelöst werden. Endbenutzer müssen das Gefühl haben, dass der Schmerz, der durch die Befolgung bewährter Sicherheitspraktiken verursacht wird, geringer ist als die Zufriedenheit, die dadurch entsteht, dass sie dies nicht tun.
Technische Maßnahmen wie Passwort-Manager sind dabei unabdingbar, da sie das sichere Handeln erheblich erleichtern: Wenn Mitarbeiter keine eigenen Passwörter erstellen oder sich merken müssen, gibt es keinen Grund, keine sicheren Passwörter zu verwenden. Gleichzeitig muss durch den Kulturwandel die Schwelle zum Ausführen der richtigen Handlung gesenkt werden. Dies bedeutet, dass die Sicherheit in den Vordergrund der Entscheidungsfindung gestellt wird und sichergestellt wird, dass Benutzer nie das Gefühl haben, „Zeit zu verschwenden“, indem geeignete Sicherheitsvorkehrungen getroffen werden.
Sicherheit sollte unter den Mitarbeitern diskutiert werden, und Fragen und Punkte, die Endbenutzer in ihrer eigenen Rolle zu Sicherheitsproblemen aufbringen, sollten beachtet und belohnt werden. Dies gibt den Benutzern das Gefühl, dass Sicherheit nicht nur ein nachträglicher Gedanke ist, sondern etwas, für das es sich immer lohnt, Zeit zu investieren.
Effektive Schulungen zum Sicherheitsbewusstsein adressieren nicht nur einen, sondern alle vier dieser Faktoren.
Effektive Schulungen zum Sicherheitsbewusstsein adressieren nicht nur einen, sondern alle vier dieser Faktoren. Dies bedeutet, Situationen zu identifizieren, in denen Daten oder Systeme kompromittiert werden könnten, Best Practices zu verstehen, die möglichen Folgen von Sicherheitsverletzungen zu kennen und schließlich dazu beizutragen, einen kulturellen Wandel durchzusetzen, um eine Umgebung zu schaffen, in der Sicherheitsüberlegungen immer bei der Entscheidungsfindung berücksichtigt werden.
Die globale Reaktion auf die Covid-19-Pandemie hat viele Veränderungen an den Arbeitsplätzen verursacht. Die Änderung mit den größten Auswirkungen auf die Sicherheit war die Umstellung vieler Unternehmen darauf, dass die meisten oder alle ihre Mitarbeiter innerhalb kurzer Zeit von zu Hause aus arbeiten, was dazu führte, dass viele Endbenutzer einem höheren Risiko ausgesetzt sind, Online-Bedrohungen erliegen.
Mitarbeiter, die vor der Pandemie nicht daran gewöhnt waren, von zu Hause aus zu arbeiten, entdeckten schnell einige der Probleme, die sie verursachen würde: die Betreuung von Kindern und Haustieren, der Umgang mit schlechter Internetverbindung und all die anderen Störungen, die bei uns auftreten können Heimat. Inmitten all dieser neuen Veränderungen in der Arbeitsumgebung geriet die Sicherheit zu oft auf die Prioritätenliste der Benutzer.
Endbenutzer, die von zu Hause aus arbeiten, entziehen sich der Aufsicht der IT-Supportabteilung und können mit einfachen technischen Problemen zu kämpfen haben. Darüber hinaus wurden wesentliche Sicherheitsaufgaben wie das Aktualisieren von Software und Betriebssystemen, das Aktualisieren der Router-Firmware und das Sichern des Netzwerks plötzlich in die Hände der Endbenutzer gelegt. Es ist kein Wunder, dass Cyberkriminelle keine Sekunde damit verschwendet haben, die Umstände der Pandemie auszunutzen, um neue Formen von Betrug und Cyberkriminalität zu entwickeln.
Das IT-Support-Team kann nicht bei jedem Endbenutzer zu Hause sein, weshalb es wichtig ist, sicherzustellen, dass sich die Endbenutzer neben der richtigen Ausrüstung ihrer individuellen Verantwortung für die Aufrechterhaltung der Sicherheit bewusst sind. Endbenutzer müssen wissen, dass sie dafür verantwortlich sind sicherzustellen, dass sie nur über aktuelle und sichere Geräte und Netzwerke auf Unternehmensinformationen und Netzwerke zugreifen.
Schulungen zum Sicherheitsbewusstsein sind der Schlüssel, um sicherzustellen, dass Endbenutzer wissen, wie sie die Sicherheit aufrechterhalten können. Am besten ist es, das Training in kleine, verdauliche Komponenten aufzuteilen, damit die Benutzer nicht überfordert werden. Außerdem sollten regelmäßig – mindestens einmal im Monat – Schulungen stattfinden, um sicherzustellen, dass wichtige Erkenntnisse erhalten bleiben und die Benutzer die Sicherheit nicht vergessen, sobald das nächste Arbeitsprojekt ansteht, das die Prioritätenliste aufrüttelt. Schließlich ist es wichtig, Endbenutzer zu testen. Es sollte klargestellt werden, dass dies nicht dazu dient, Benutzer zu verurteilen oder zu bestrafen, die mit ihrer Schulung zu kämpfen haben, sondern um wichtige Sicherheitslücken in der gesamten Belegschaft zu identifizieren und diese zu beheben, bevor sie von Cyberkriminellen ausgenutzt werden können.
Security Awareness Training ist nicht dasselbe. Die Art und Weise, wie Schulungen durchgeführt, strukturiert und präsentiert werden, hat einen großen Einfluss auf ihre Effektivität bei der wirklichen Verbesserung der Sicherheitsergebnisse in Ihrem Unternehmen. In diesem Abschnitt sehen wir uns an, wie Sie Ihre Endbenutzer am besten zum Sicherheitsbewusstsein trainieren können.
Früher bedeutete Security Awareness Training, dass Endbenutzer eine jährliche Sitzung mit stundenlangen Vorträgen und Diashows absolvieren mussten. Die Idee war, dass sich die Nutzer an etwas von dem, was sie gesehen und gehört haben, erinnern – und im schlimmsten Fall könnte zumindest das Kästchen „Benutzer aufklären“ angekreuzt werden. Aber wie weit hat es die Sicherheitsergebnisse tatsächlich verbessert? Es hat nicht funktioniert und alle hassten es.
Es gibt eine Reihe von Gründen, warum diese Art der jährlichen vorlesungsbasierten Schulung nicht effektiv ist. Die erste davon ist, dass in einer jährlichen Schulung einfach zu viele Informationen auf einmal vorhanden sind, als dass ein Mitarbeiter sie verdauen und sich merken könnte. Selbst wenn die Benutzer Lernmaterialien zum Mitnehmen oder gelegentliche Erinnerungen erhalten, besteht die Möglichkeit, dass der größte Teil des Materials in der Schulung durch das eine Ohr geht und das andere wieder verlässt - in wenigen Augenblicken vergessen.
Vorträge und Diashows sind einfach keine ansprechenden Formate für Endbenutzer.
Vorträge und Diashows sind einfach keine ansprechenden Formate, aus denen Endbenutzer lernen können. Sie wecken das Interesse der Mitarbeiter nicht auf die gleiche Weise wie Video- und interaktive Inhalte und sind zu oft mit unnötigen Informationen gefüllt, die nicht für jeden Endbenutzer relevant sind. Bis zum Rand mit kleinem Text gefüllte Folien lassen jeden Mitarbeiter nach der Hälfte der Sitzung einschlafen.
Der letzte Hauptgrund, warum traditionelles Training nicht effektiv ist, ist, dass es nicht durch Wiederholung lernt. Wenn zwischen den Lernsitzungen ein Jahr liegt, erinnern sich die Benutzer einfach nicht mehr an das Gelernte – und das Bewusstsein für Sicherheitsprobleme im Allgemeinen wird in den Tagen und Wochen nach dem Training sinken. Sicherheit kann keine einmalige Sache sein, sondern muss das ganze Jahr über gelten, um effektiv zu sein.
Security-Awareness-Schulungen haben sich zunehmend auf Online-Software-as-a-Service-Lösungen verlagert. Cloud-basiertes Training bietet einige unmittelbare Vorteile gegenüber herkömmlichen Methoden, ist jedoch nicht unbedingt die ultimative Antwort auf das Sicherheitsbewusstsein, es sei denn, es liefert in bestimmten Bereichen, die für eine echte Verbesserung der Sicherheitsergebnisse unerlässlich sind.
Ein wirklich effektives Sicherheitsbewusstseins-Schulungsprogramm ist möglich – aber es gibt einige wichtige Kriterien, die Sie befolgen müssen, um Ihre Benutzer wirklich zu binden.
7 Schritte zu einem erfolgreichen Security Awareness Training: |
|
Es gibt eine begrenzte Menge an Informationen, die eine Person gleichzeitig aufnehmen kann. Dies gilt insbesondere dann, wenn es um Themen geht, zu denen die meisten Mitarbeiter nicht viel Vorwissen haben. Damit die Menge an Lernmaterial den Endnutzer nicht überfordert, muss es entsprechend in Segmente unterteilt werden, die jeweils eine eigene klare, einfache Botschaft haben, die den Nutzern leicht verdaulich präsentiert wird.
Ein weiterer Vorteil des Aufschlüsselns von Lernmaterialien besteht darin, dass das Lernen leicht kontinuierlich und nicht nur einmalig erfolgen kann. Durch die Aufteilung des Lernens in Teile können diese Abschnitte das ganze Jahr über regelmäßig versendet werden, wodurch das Sicherheitsbewusstsein der Endbenutzer konsequent im Gedächtnis bleibt. Da Wiederholung der Schlüssel zum Lernen ist, ist dies entscheidend, um sicherzustellen, dass sich die Benutzer tatsächlich an das Gelernte erinnern.
Es ist wichtig sicherzustellen, dass die Lerninhalte für die Endbenutzer relevant sind, um sicherzustellen, dass sie engagiert bleiben. Wenn einem Endbenutzer Informationen präsentiert werden, die seiner Meinung nach für ihn nicht relevant sind, wird er schnell das Interesse verlieren und weniger aufmerksam sein. Lernmaterialien müssen nicht nur Fachjargon und Fachbegriffe vermeiden, sondern auch realitätsnahe Situationen berücksichtigen, denen der durchschnittliche Endanwender im Arbeitsalltag begegnen würde. Die meisten Mitarbeiter müssen beispielsweise nicht die Besonderheiten von Vorschriften oder Malware-Angriffen kennen, sondern einfach nur, wie sie sich so verhalten, dass diese Risiken reduziert werden – und Risiken, denen sie begegnen können, angemessen gemeldet werden.
Es ist gut und gut, die Mitarbeiter über die Risiken und deren Bekämpfung zu unterrichten – aber das Wichtigste ist, dass die Mitarbeiter die Schulungen mit konkreten Schritten im Hinterkopf verlassen, die sie sofort in ihrer täglichen Arbeit anwenden können. Die Möglichkeit, Mitarbeiter gleich auf den Prüfstand zu stellen, trägt auch zum Gedächtnisaufbau bei – und kann mit Tools wie der Phishing-Simulation erreicht werden.
Nicht alle Inhalte sind gleich. Textbasierte Inhalte werden für Benutzer schnell ermüdend und sollten nur verwendet werden, wenn sie durch visuelle, ansprechendere Inhalte ergänzt werden. Videos eignen sich hervorragend, um die Benutzer zu unterhalten – solange sie von hoher Qualität und angenehm anzusehen sind. Humor kann mit großer Wirkung eingesetzt werden, um Sicherheitsbewusstseinsvideos für Endbenutzer attraktiver zu machen. Interaktive Inhalte eignen sich auch hervorragend, um Benutzer zu begeistern. Viele Menschen lernen durch Handeln – indem sie Fragen beantworten oder auf andere Weise an ihrem Lernen teilnehmen – und interaktive Inhalte können den Benutzern auch ein Erfolgserlebnis beim Durchhalten eines Kurses geben.
Es ist wichtig, dass die Benutzer nach den Schulungen auf das Gelernte getestet werden. Dies hilft Ihnen zu wissen, dass die Benutzer wichtige Punkte gelernt haben und etwas gelernt haben - aber auch den Lernprozess der Benutzer, da sie die Informationen, die sie gerade gelernt haben, aus ihrem eigenen Gedächtnis abrufen.
Der wichtigste Teil der Effektivität eines Security-Awareness-Trainingsprogramms hat jedoch ebenso viel mit Faktoren außerhalb des Trainings zu tun wie mit dem Training selbst. Damit Schulungen effektiv sind, müssen sie Teil einer Sicherheitskultur sein, in der der Sicherheit immer die notwendige Beachtung geschenkt wird und die Benutzer aktiv ermutigt werden, Bedenken zu äußern und Fragen zu stellen. Ein gutes Security-Awareness-Programm trägt dazu bei, indem es Sicherheit als etwas Kontinuierliches und Aktives und nicht als einmaliges und passives darstellt. Es ist jedoch wichtig, dass die Organisation diese Bemühungen auch außerhalb von Schulungen unterstützt.
Jetzt zugreifen: Das komplette Sicherheitsbewusstsein
Leitfaden 2021 [Kostenloses eBook] →
Schulungen zum Sicherheitsbewusstsein werden keine wirksamen Ergebnisse bei der Verbesserung der Sicherheitsergebnisse erzielen, wenn sie nicht von einem kulturellen Wandel begleitet werden. Umfassende Schulungen werden den Endbenutzern beibringen, sicherheitsgefährdete Situationen zu erkennen und angemessen damit umzugehen. Dieses Wissen wird jedoch nicht in die Praxis umgesetzt, es sei denn, der Benutzer hat das Gefühl, dass Sicherheit in seiner Kultur geschätzt wird.
Schulungen zum Sicherheitsbewusstsein werden nicht wirksam sein, wenn sie nicht von einem kulturellen Wandel begleitet werden.
Angesichts der wachsenden Anzahl von Bedrohungen sowie der zunehmenden Komplexität von Unternehmensdiensten und des Zugriffs auf Daten und Systeme von mobilen Geräten aus ist es unmöglich zu wissen, wo die nächste Bedrohung oder ein versehentliches Leck für Ihr Unternehmen auftreten könnte. Aus diesem Grund sollte es bei der Sicherheit nicht darum gehen, sicherzustellen, dass Ihre Endbenutzer sichere Passwörter wählen oder andere spezifische Schritte befolgen, sondern sie zu befähigen, aktive Wächter Ihres Unternehmens, seiner Systeme, Geräte und Daten zu sein.
Kultur hat mit Werten zu tun. Damit sich die Mitarbeiter um Sicherheit kümmern, muss sie im gesamten Unternehmen als Wert hervorgehoben werden. Das bedeutet, dass Sicherheit nicht als Verantwortung des IT- oder infosec-Teams gesehen wird, sondern als gemeinsame Verantwortung aller Mitarbeiter.
Kulturwandel und Unternehmenswerte müssen von oben kommen. Die Geschäftsleitung spielt eine wichtige Rolle bei der Betonung der Rolle der Sicherheit im Unternehmen – aber es ist wichtig, dass sie die neue Kultur wachsen lassen, anstatt sie zu diktieren. Dies bedeutet, die Mitarbeiter zu ermutigen, eine aktive Rolle zu übernehmen, indem sie sie bitten, Bedenken bezüglich ihrer eigenen Rolle zu äußern, und sie ermutigen, Fragen zu stellen und sich mit Sicherheitsfragen zu befassen.
Auf diese Weise haben die Benutzer das Gefühl, in den Sicherheitsprozess involviert zu sein und beginnen aktiv über die Sicherheitsaspekte in ihrer eigenen Rolle nachzudenken. Ein Manager oder jemand in der IT ist möglicherweise nicht mit allen Prozessen des Workflows eines Mitarbeiters vertraut – deshalb ist es wichtig, dass der Benutzer selbst versteht, dass er Maßnahmen zur Gewährleistung der Daten- und Systemsicherheit ergreifen muss.
Das Senior Management hat auch eine Rolle bei der Festlegung von Prioritäten für das Geschäft. Jeder, der für eine Fluggesellschaft arbeitet, wird Ihnen sagen, dass Sicherheit immer und ausnahmslos oberste Priorität hat. Alles andere kommt an zweiter Stelle. Während in den meisten anderen Unternehmen Sicherheit keine lebensbedrohliche Angelegenheit ist, ist es wichtig, sich daran zu erinnern, wie schädlich jede Sicherheitsverletzung für ein Unternehmen sein kann.
Wenn Kunden nicht mehr das Gefühl haben, einer Organisation ihre persönlichen Daten oder ihr Geschäft anvertrauen zu können, könnte dies das Ende des Unternehmens bedeuten. Allen Mitarbeitern sollte klar gemacht werden, dass Sicherheit immer an erster Stelle steht – und dass es immer besser ist, nachzufragen und sich zu vergewissern, als sich hinterher zu entschuldigen.
Für eine sichere Geschäftsumgebung trägt das tief verwurzelte Prinzip der geringsten Privilegien wesentlich zum Schutz von Unternehmenswerten, Daten und Systemen bei. Während das Prinzip der geringsten Rechte oft als technische Maßnahme angesehen wird – die Beschränkung jedes Benutzers auf die Rechte, die er für seine spezifischen Aufgaben benötigt – sollte es auch direkt in die Unternehmenskultur eingebettet werden. Dies bedeutet, dass Benutzer dazu angehalten werden, aktiv zu melden, wenn sie Zugriff auf mehr Daten oder Systeme haben, als sie benötigen, um die Möglichkeiten von Sicherheitsverletzungen zu begrenzen.
In Bezug auf physische Maßnahmen können Elemente wie Poster beim Aufbau einer Sicherheitskultur hilfreich sein und auch hilfreiche Erinnerungen zu Themen wie Passwortstärke enthalten. Es ist jedoch wichtig, sich daran zu erinnern, dass das bloße Anbringen eines Posters an einer Wand noch nichts bringt, aber es sollte als Diskussionsgrundlage dienen oder als Ergänzung zu Schulungsmaterial dienen, mit dem sich die Benutzer bereits beschäftigt haben.
Schließlich ist es wichtig, sicherzustellen, dass die Mitarbeiter das Gefühl haben, dass ihr Beitrag zur Sicherheit wertgeschätzt wird. Wenn Mitarbeiter Fragen stellen, sollte ihnen immer Zeit und Aufmerksamkeit geschenkt werden, und es sollte sichergestellt werden, dass sie die Antwort vollständig verstehen und warum sie für die Sicherheit wichtig ist. Wenn Benutzer Sicherheitsbedenken äußern, sollten sie immer dafür belohnt werden, dass sie aufmerksam sind und sich für die Sicherheit des Unternehmens einsetzen.
Es kommt nicht nur auf das Format der Sicherheitsbewusstseinsschulung an, sondern auch darauf, was Sie darin einbeziehen. Schulungen sollten alle Kernthemen erschöpfen, ohne die Benutzer zu überfordern. Obwohl jedes Unternehmen und jede Jobrolle unterschiedliche Anforderungen hat, gibt es einige wesentliche Bereiche, die es wert sind, sicherzustellen, dass sich jeder einzelne Endbenutzer bewusst ist – auch nur kurz.
Die Top-Picks von usecure: |
|
Wir glauben, dass Ihre Endbenutzer nicht Ihr schwächstes Glied sind – sondern Ihre erste Verteidigungslinie.
usecure bietet ein mundgerechtes Security Awareness Training, das darauf ausgelegt ist, Ihre Benutzer zu beschäftigen. Unterhaltsame Videos und interaktive Inhalte sorgen dafür, dass sich Endanwender immer auf das nächste Schulungsmodul freuen – während die intelligente Automatisierung im Herzen der usecure-Plattform den Administrationsaufwand auf ein Minimum reduziert.
Jetzt zugreifen: Das komplette Sicherheitsbewusstsein
Leitfaden 2021 [Kostenloses eBook] →