Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Durch Dreiklang von Mindset, Skillset und Toolset zur nachhaltigen Sicherheitskultur im Unternehmen

Noch immer stehen viele IT-Sicherheitsverantwortliche vor der Herausforderung, Mitarbeiter für Informationssicherheitsthemen zu sensibilisieren und so Fehlverhalten zu vermeiden. Nur wie kann eine nachhaltige Sicherheitskultur etabliert werden?

Menschen ändern ihr Verhalten bekanntlich nur zögerlich. In unserer heutigen Gesellschaft, in der Cyber-Kriminelle immer neue Wege entwickeln, um Unternehmen anzugreifen, kann dies zum Problem werden. Unsensibilisierte Mitarbeiter können durch ihr Fehlverhalten Sicherheitsvorfälle auslösen und ihr Unternehmen gefährden.

Die Lösung für diese Situation ist die Etablierung einer Sicherheitskultur. Ziel ist die Verbesserung der Informationssicherheit einer Organisation durch grundlegende Verhaltensänderung der Organisationsmitglieder. Best-Practices bei hunderten Kunden von IT-Seal zeigen, dass eine nachhaltige Sicherheitskultur durch den Dreiklang von Mindset, Skillset und Toolset erreicht werden kann.

Die Theorie des Dreiklangs aus Mindset, Skillset und Toolset

Beim Mindset kommt es darauf an, bei Mitarbeitern Verständnis für die Bedrohungslage zu schaffen, sodass sie ihre Eigenverantwortung wahrnehmen. Die wichtigsten Stakeholder werden abgeholt, zentrale Führungskräfte als Vorbilder ausgebildet und die Sicherheitskultur als Unternehmensziel definiert.

Skillset bedeutet, das Gelernte nachhaltig zu vertiefen. Das heißt die Fähigkeiten und das Wissen, wie man sich sicher verhalten sollte, werden so praxisnah wie möglich mit den Mitarbeitern trainiert, damit das Gelernte verinnerlicht wird.

Für ein passendes Toolset werden technische und organisatorische Maßnahmen eingesetzt, um den Mitarbeitern die Umsetzung des im Awareness-Training erlangten Know-Hows einfacher zu machen.

Für die Etablierung einer nachhaltigen Sicherheitskultur ist es von grundlegender Bedeutung diesen Dreiklang zu berücksichtigen und alle drei Aspekte zu integrieren.

 

Problematik und Lösung für die Umsetzung einer Sicherheitskultur

Bei herkömmlichen Awareness-Kampagnen sucht der IT-Sicherheitsverantwortliche eigenständig diverse Awareness-Trainingsmethoden heraus und trackt den Trainingsbedarf der Mitarbeiter. Nach einer bestimmten Zeitspanne endet die Awareness-Kampagne und die Mitarbeiter werden wieder sich selbst überlassen. Dieser Ansatz ist nicht nur sehr mühsam auf Kundenseite, sondern auch häufig ineffektiv für den Aufbau einer Sicherheitskultur, da der Dreiklang aus Skillset, Mindset und Toolset nicht aufeinander abgestimmt oder lückenhaft ist.

Als Antwort auf dieses Problem hat IT-Seal die Awareness Academy entwickelt, einen einfachen und verlässlichen Workflow zur Etablierung einer nachhaltigen Sicherheitskultur. IT-Seal kümmert sich im Full-Service darum, das gewünschte Ziel-Sicherheitsniveau zu erreichen, während sich der IT-Sicherheitsbeauftragte entspannt zurücklehnen kann. Mit der Awareness Academy erhält der Kunde eine Multi-Channel-Strategie, die optimal auf den Dreiklang aus Mindset, Skillset und Toolset ausgerichtet ist.

 

Verlässlicher Workflow zur Etablierung einer nachhaltigen Sicherheitskultur

Zu Beginn der Awareness Academy definiert der Kunde das Sicherheits-Zielniveau, welches sein Unternehmen erreichen und langfristig halten soll. Hierfür hat IT-Seal den Employee Security Index ESI®, eine standardisierte und wissenschaftliche Security-Awareness-Kennzahl, entwickelt. Die Awareness-Kampagne wird auf das Erreichen des Ziel-ESI® ausgerichtet und die Mitarbeiter werden anschließend kennzahlenbasiert trainiert. Der IT-Sicherheitsverantwortliche kann anhand des ESI® jederzeit das aktuelle Sicherheitsniveau und die Entwicklung von Mitarbeitergruppen abrufen und so die Effektivität der Awareness-Maßnahmen prüfen.

ESI_Graph

Der Kunde definiert seinen Ziel-ESI® und IT-Seal kümmert sich mit diversen Awareness-Trainingsmaßnahmen um das Erreichen.

Nach Festlegen des Ziel-ESI® startet die Awareness Engine von IT-Seal. Sie ist das Herzstück der Awareness Academy für das Training im Autopiloten. Die Awareness Engine stellt sicher, dass jede Gruppe so viel Training wie nötig, aber so wenig wie möglich erhält: Das Awareness-Training einer Mitarbeitergruppe, die bereits den Ziel-ESI® erreicht hat, pausiert, wohingegen eine Gruppe mit Trainingsbedarf weitere Maßnahmen erhält. Die Awareness Engine entlastet somit den Kunden und stellt effizientes Training sicher.

Awareness-EngineU6C1RSv73BFpe 

Die Awareness Engine setzt bei Mitarbeitergruppen automatisch Ruhepausen, wenn der Ziel-ESI® erreicht ist.

Das Awareness-Training umfasst vielfältige Maßnahmen wie E-Learnings, Kurzvideos, Schulungen, Awareness-Materialien und Phishing-Simulationen. Hierbei kommt die patentierte Spear-Phishing-Engine zum Einsatz. Diese sammelt zunächst öffentlich zugängliche Informationen über die Mitarbeiter, sogenannte Open Source Intelligence. Darauf basierend erstellt sie authentische Spear-Phishing-Mails. Somit werden realistische Angriffsszenarien abgebildet, die Mitarbeiter auf tatsächliche Angriffe vor.

 

Spear-Phishing-Engine

Die Spear-Phishing-Engine nutzt OSINT zur Analyse und Erstellung von gezielten Spear-Phishing-Simulationen.  

Das Training erfolgt bedarfsgerecht: Durch steigenden Schwierigkeitsgrad werden Frustmomente durch Über- oder Unterforderung vermieden. Ein weiteres effektives Element ist die Aufklärung im Most Teachable Moment. Der Mitarbeiter gelangt bei Klick auf eine Phishing-Mail von IT-Seal auf eine Erklärseite, die ihm interaktiv aufzeigt, wie er die Phishing-Mail hätte identifizieren können. Identifiziert ein Mitarbeiter eine Phishing-Mail, kann er einen Reporter-Button nutzen und den Phishing-Angriff auf diese Weise zu melden.

 

Durch Dreiklang zum aufgeklärten Mitarbeiter

Eine aktiv gelebte Sicherheitskultur bedeutet aufgeklärte Mitarbeiter, die ihre Verantwortung selbständig wahrnehmen. Sie ist das Resultat des Dreiklangs aus Mindset, Skillset und Toolset. Durch Berücksichtigung aller Aspekte können IT-Sicherheitsverantwortliche bei Mitarbeitern und Stakeholdern Verständnis für die Situation schaffen, ein effektives und kontinuierliches Awareness-Training einführen und Werkzeuge etablieren, die das Umsetzen des Gelernten vereinfachen.

Die Awareness Academy von IT-Seal bietet hierfür einen einfachen und verlässlichen Workflow. Überzeugen Sie sich selbst und testen Sie die Spear-Phishing-Demo hier.

 

>> Erfahren Sie in unserem Anbieterbereich mehr über die  Awareness Academy von IT-Seal.

 

Quelle: IT-Seal
Beitragsbild: stock.adobe.com/CrazyCloud

Passende Artikel
Zeitschrift IT-SICHERHEIT
98,00 €

Preis für Jahresabonnement Inland