Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Freitag, Juni 14, 2019 14:48 - noch keine Kommentare
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen
Sicherheitskultur ist ein wichtiger Aspekt für Unternehmen
Von unserem Gastautor Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4
[datensicherheit.de, 14.06.2019] Es gibt in der Cybersicherheit etwas, das sich nicht lernen lässt, schon gar nicht durch irgendwelche Online-Kurse: Erfahrungswerte. Im Allgemeinen werden Meetings, Webinare, Mittagessen und Lernen, Teamaktivitäten oder sogar alltägliche Interaktionen mit einer Technologie als ereignisbasierte Erfahrung betrachtet. Der Schlüssel ist, dass dies Situationen sind, in die Menschen ein- und aussteigen.
Besprechungen, Präsentationen und Lunch-and-Learnings
In der Regel gibt es keinen Bildschirm, der den Referenten von den Teilnehmern trennt. Die Formate sind offener und interaktiver, so dass im Veranstaltungsraum ein größeres Gefühl von Emotion und geteilter Empathie entsteht. Inhalte wie Erfahrungen können direkt geteilt werden, aber der Referent hat auch den Vorteil, dass er direkt mit seinem Publikum interagiert. Dies kann dazu beitragen, ein Vertrauensverhältnis zwischen den Mitarbeitern und dem IT-Sicherheitsteam zu fördern. Dies sind großartige Foren zum Geschichten erzählen, Fragestunden, Austausch über aktuelle Themen und vieles mehr.
Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4
Gespräche mit Referenten sind immer gut, aber nicht immer notwendig. Eine Führungskraft aus dem eigenen Unternehmen kann auch darüber referieren, wie wichtig die IT-Sicherheit für den Erfolg des Unternehmens ist. Darüber hinaus können IT-Sicherheitsmitarbeiter kurze Vorträge über Sicherheitsvorfälle halten, die entweder erfolgreich waren und in der Öffentlichkeit präsent sind oder aber eigenen, die das Team vereiteln konnte. Das Wichtigste bei alledem ist, die Menschen einzubeziehen.
Der Vorgesetzte kann (und sollte) auch Wege finden, Sicherheitsereignisse und -themen in regelmäßig stattfindende Meetings zu integrieren, an denen er oder sie möglicherweise nicht selbst teilnehmen kann.
Tabletop-Übungen
Tabletop-Übungen (TTXs) sind äußerst flexibel. Tabletop-Übungen können ganz einfach erstellt werden. Sie dauern zwischen ein paar Minuten bis hin zu einem ganzen Tag. Im Wesentlichen handelt es sich dabei um Denkübungen, die um ein „Was wäre wenn“-Szenario herum aufgebaut sind.
Einer der besten Vorteile eines TTX ist, dass er es den Mitarbeitern ermöglicht, ihre Reaktionen auf Szenarien zu einem Zeitpunkt zu üben, an dem die Anforderungen nicht hoch sind. Ihre Reaktionen und Antworten können untersucht werden, und die Trainer oder Führungskräfte können entscheiden, wie sie die Trainings-, Nachrichten- und Spielbücher am besten ergänzen können, basierend auf was sie gesehen und gehört haben.
Innerhalb von nur wenigen Minuten auf Google, merkt man, dass es eine Menge guter Ressourcen gibt, wie man Tabletop-Übungen erstellt. Und viele von ihnen kommen aus dem Bereich der Notfallvorsorge, weil dieser Bereich immer wieder Pläne und Prozesse entwickeln muss, wie man mit dem nächsten großen „Was wäre wenn“ umgehen kann. Trainer und Führungskräfte können diese Materialien als Modell für die Erstellung personalisierter Cybersicherheits- und physischer Sicherheitsszenarien verwenden.
Rituale
Rituale existieren, um die Kulturen des Unternehmens zu verkörpern und zu erhalten, kann es von Vorteil sein, einen Teil der sicherheitsrelevanten Botschaften oder Aktivitäten in vorher festgelegte Unternehmensrituale zu integrieren. Wenn jeden Morgen ein Treffen stattfindet, sollten Anstrengungen unternommen werden, um Sicherheitsupdates zu integrieren. Rituale dienen auch dazu, organisatorische Werte wie den Service zu kodifizieren. Kann ein Security Messaging in bereits bestehende Service-Rituale integriert werden? Oder könnten vielleicht sogar neue Rituale geschaffen werden, die sich an populären Ritualen innerhalb des Unternehmens orientieren?
Spiele
Sicherheitsthemenspiele sind gut geeignet, um den Mitarbeitern zu helfen, Sicherheitsthemen durch eine andere Perspektive zu betrachten. Die lustigen, herausfordernden und variablen Belohnungen, die mit Spielen verbunden sind, helfen komplexe Botschaften zu transportieren. Beispiele für Spiele können computerbasierte oder physische Spiele wie Gefahrenerkennung, Rätsel lösen, Kartenspiele mit Szenarien und so weiter sein. Vor allem aber sollen die Spiele Spaß machen, aus dem Alltäglichen gemacht werden und lohnend sein.
Dies sind nur einige wenige Beispiele, wie man so etwas wie Erfahrungen anderer Dritter nutzen kann, um die Sicherheitskultur in einem Unternehmen positiv zu beeinflussen. Auf Grundlage der Organisationskultur können Wege gefunden werden, um immersive, ansprechende Erfahrungen zu schaffen, die bei den Mitarbeitern ankommen und sie in eine menschliche Firewall verwandeln.
Weitere Informationen zum Thema:
datensicherheit.de, 15.04.2019
Kulturträger: Wege das Sicherheitsbewusstsein im Unternehmen zu stärken
datensicherheit.de, 07.11.2018
Security Awareness: Tipps für ein funktionierendes Sicherheitsbewusstsein im Unternehmen
datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal
datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Sep 30, 2024 18:43 - noch keine Kommentare
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
weitere Beiträge in Branche
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
- NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko
- Frust in der IT-Abteilung: Erkenntnisse einer Sophos-Umfrage unter IT-Sicherheitspersonal
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren