Security Awareness: Tipps für ein funktionierendes Sicherheitsbewusstsein im Unternehmen

Sicherheitsexperten sollten mit Mitarbeitern in Kontakt sein

Von unserem Gastautor Perry Carpenter, Chief Evangelist und Strategy Officer bei KnowBe4

[datensicherheit.de, 07.11.2018] Um den Prozess der Erstellung eines soliden Plans und einer soliden Grundlage für ein Security Awareness-Programm zu beginnen, müssen sich interne Sicherheitsexperten die Zeit nehmen, zu erfahren, was die Mitarbeiter im Unternehmen über Sicherheit überhaupt denken.

Ein kritischer Schritt ist die Implementierung eines Frameworks, um sicherzustellen, dass die Dinge strukturiert angegangen werden, anstatt sie einfach nachzubauen. Besonders in großen globalen Unternehmen empfiehlt sich, eine Reihe von Interviews oder Schnellumfragen durchzuführen. Daran lässt sich ablesen, wie verschiedene Abteilungen und Bereichsleiter Sicherheit sehen, Richtlinien und Best Practices verstehen und was sie wirklich für wichtig halten. Es ist immer wieder interessant zu sehen, welche Unterschiede und Gemeinsamkeiten dieser Prozess aufdecken kann. Es hilft Unternehmen auch zu verstehen, ob ihre wichtigsten Führungskräfte sich einig sind und ob es einige politische oder logistische Hürden gibt, die beim Aufstellen eines Sicherheitskonzepts überwunden werden müssen.

Bild: KnowBe4

Perry Carpenter, Chief Evangelist und Strategy Officer bei KnowBe4

Mit diesem Hintergrundwissen können Unternehmen beginnen, ihre Jahresziele zu erstellen. Hierfür kann der SMARTER-Zielsetzungsrahmen genutzt werden. Der Ansatz stammt von mehreren Produktivitäts-Gurus und es gibt einige verschiedene Versionen des SMARTER-Frameworks; für unsere Zwecke verwenden wir hier die Michael-Hyalt-Version.

SMARTER Rahmenziele im Rahmen eines Security Awareness Programms setzen sich wie folgt zusammen:

• Spezifisch genug, um die Bemühungen der Unternehmen zu konzentrieren und zu lenken. Was genau erhofft sich der Sicherheitsexperte im nächsten Jahr zu erreichen? Darüber sollte er nachdenken, sowohl in Bezug auf die Bereitstellung von Inhalten, Verhaltensänderungen und alle anderen Ziele, die er soweit verfeinern kann, dass das Security Awareness-Programm genau darauf eingeht.
• Messbar, damit die Fortschritte verfolgt und die Lücken erkannt werden können. Identifizierung, was gemessen werden soll z.B. die Anzahl der Kampagnen; der Prozentsatz der Kursabschlüsse; die durchschnittlichen Testergebnisse pro Abteilung; prozessanfällige prozentuale Veränderung im Laufe der Zeit; Anzahl der speziellen Trainingsveranstaltungen vor Ort, wie z.B. Table-Top-Übungen; Anzahl der selbst gemeldeten vermuteten Sicherheitsprobleme; Anzahl der gemeldeten vermuteten Phishing-E-Mails v. der Anzahl der genau gemeldeten Phishing-E-Mails und der bekannten nicht gemeldeten Phishing-E-Mails; und die Liste wird fortgesetzt. Der Punkt ist, messbare Attribute/Ergebnisse eines Sicherheitsbewusstseinsprogramms zu finden, die für das Unternehmen relevant sind, um die Veränderung, die der Sicherheitsexperte vorantreiben will nachvollziehen zu können.
• Handlungsfähig mit einem klaren Initialverb, das eine bestimmte Aktivität auslöst. Das Security Awareness-Programm wird wahrscheinlich mehrere Ziele haben. Jedes Ergebnis sollte mit einem Aktionsverb klar formuliert werden. Hier ist ein Beispiel: „Reduzieren Sie unseren gesamten Prozentsatz für Phishing-Anfälle von 22% auf 2% bis Dezember 2018.“ Und hier kommt ein weiteres Beispiel: „Aufbau unseres Security Awareness Dashboards und Bereitstellung vereinbarter Kennzahlen bis Ende des ersten Quartals 2018“.
• Riskant genug, um eine natürliche Tendenz zur Bewältigung von Herausforderungen zu nutzen. Sicherheitsexperten sollten sich fragen, wo sie es sich leisten können, riskant zu sein. Was ist das Ziel, um die Anfälligkeit des Unternehmens für Social Engineering-Angriffe zu reduzieren? Hier sollten Sicherheitsexperten ein Risiko eingehen und aggressiv in ihrer Einschätzung ein. Dies zwingt sie (und alle anderen in der Genehmigungskette für das Programm), eine bewährte Vorgehensweise mit häufigen Phishing- und Social-Engineering-Tests anzuwenden, so dass die Mitarbeiter entsprechend darauf vorbereitet sind, nicht auf Phishing-Links zu klicken. Oder vielleicht ist es ein riskantes Ziel, das Programm zum ersten Mal global auszurichten. Wenn ja, wird die Angabe des Ziels sein, die verantwortlichen Sicherheitsexperten dazu zu zwingen, mit anderen Bereichen des Unternehmens zusammenzuarbeiten, um sicherzustellen, dass das Programm die besten Erfolgsaussichten hat, wenn es in jeder Region umgesetzt wird.
• Zeitgesteuert, so dass Sicherheitsexperten genau dann aufgefordert werden, wenn sie handeln müssen. Das ist im Grunde genommen selbsterklärend. Wenn sie sich nicht auf einen bestimmten Zeitrahmen festgelegt haben, werden sie das Ziel wahrscheinlich nur als vage ansehen. Sobald ein Datum damit verbunden wird, ist der Anreiz größer, daran zu arbeiten, das Datum einzuhalten. Und das zwingt die Verantwortlichen, ab dem Zieldatum rückwärts zu arbeiten und das Ziel in überschaubare/definierte Blöcke aufzuteilen.
• Spannend genug, um die Kraft der inneren Motivation zu nutzen. Es geht darum, sich von einer „Check the Box“-Mentalität in eine Art Kreuzritter-Mentalität zu transformieren. Verantwortliche sollten darüber nachdenken, warum jeder Aspekt des Programms wichtig ist. Wie verbessert es die Gesamtorganisation? Der Kontakt mit dem zugrunde liegenden „Warum“ hinter jedem Aspekt kann dazu beitragen, die Verantwortlichen das ganze Jahr über mit Energie zu versorgen, während sie auf den Wellen des Erfolgs und der Frustration reiten.
• Relevant für den Gesamtkontext des Unternehmens und der Mitarbeiter. Sicherheit sollte nicht zu einem abstrakten Konzept werden. Wenn Dinge trainiert werden, die für das Unternehmen oder die Mitarbeiter nicht relevant sind, werden sie den Inhalt ignorieren und vergessen. Mache es real, mache es verknüpfbar und mache es relevant. Dies bedeutet wahrscheinlich, dass die Verantwortlichen in verschiedenen Abteilungen, Regionen oder Altersgruppen unterschiedliche Nachrichten und Taktiken verwenden.

Weitere Informationen zum Thema:

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen