Gartner, Inc . prognostiziert, dass die Ausgaben für Sicherheit und Risikomanagement bis Ende 2021 voraussichtlich 150,4 Milliarden Dollar erreichen werden. Die Aufgabe des CISO (Chief Information Security Officer) war noch nie so wichtig wie heute, und es ist ein wichtiger Aspekt des Cybersicherheitsmanagements und der Risikokontrolle, dafür zu sorgen, dass das Budget sinnvoll eingesetzt wird. Die Schulung des Sicherheitsbewusstseins ist ein Bereich, der dazu beiträgt, Angriffe zur Manipulation von Mitarbeitern abzuschwächen. Dies wird durch einen Bericht von McKinsey untermauert, in dem sieben Aktionsbereiche beschrieben werden, von denen der zweite darin besteht, Mitarbeiter an vorderster Front zu gewinnen und Schulungen zum Sicherheitsbewusstsein durchzuführen. Diese Konzentration auf das menschliche Element bei der Eindämmung von Cyber-Bedrohungen bedeutet, dass ein CISO oft ein Budget für Security Awareness Training ausgibt.
Um jedoch sicherzustellen, dass ein Schulungsprogramm effektiv ist, bedarf es einer soliden Strategie. Im Folgenden finden Sie sechs Schritte für ein erfolgreiches Sicherheitsbewusstsein, die sicherstellen, dass Ihr Budget gut angelegt ist.
Sechs Schritte zur Maximierung des Erfolgs bei der Sicherheitsaufklärung
Die menschliche Komponente eines Cyberangriffs ist inzwischen gut bekannt. Untersuchungen zeigen, dass bei etwa 85 % aller Angriffe ein Mensch beteiligt ist, der durch einen Trick (oder auf andere Weise) dazu gebracht wird, den "Angriffsknopf" zu drücken. Die Schulung des Sicherheitsbewusstseins ist eine der anerkannten Methoden, um erfolgreiche, auf den Menschen ausgerichtete Cyberangriffe zu verhindern. Folglich werden die erwarteten Ausgaben für Programme zur Förderung des Sicherheitsbewusstseins bis 2027 voraussichtlich 10 Milliarden Dollar erreichen. Die folgenden sechs Schritte können Ihnen helfen, einen Erfolgsplan zu formulieren, um sicherzustellen, dass Ihr Budget gut angelegt ist.
Schritt 1: Einbindung der gesamten Führungsebene und des Vorstands
Es versteht sich von selbst, dass man, wenn man etwas verändern will, die richtigen Leute dazu bringen muss, dies zu tun. Sicherheit ist das Problem aller, auch auf Vorstandsebene. Ein positiver Ton von oben trägt dazu bei, die Einstellung zur Sicherheit zu ändern, die sich dann auf das gesamte Unternehmen überträgt. Mit der Zustimmung der Führungsebene und des Vorstands hat ein CISO die Macht, die Instrumente und Prozesse zu etablieren, um das Unternehmen sicherer zu machen. Die Unterstützung der Führungsebene bildet das Rückgrat, das für den Aufbau einer Sicherheitskultur mithilfe eines Schulungspakets für Sicherheitsbewusstsein erforderlich ist.
MetaCompliance-Tipp: Viele Datenschutzvorschriften und -normen verlangen inzwischen ein Programm zur Förderung des Sicherheitsbewusstseins. Nutzen Sie diese Anforderungen, um die Notwendigkeit eines Programms zur Förderung des Sicherheitsbewusstseins voranzutreiben.
Schritt 2: Beginnen Sie ganz am Anfang
Kennen Sie Ihre Sicherheitsbedürfnisse, indem Sie die Bedrohungslandschaft bewerten, insbesondere in Bezug auf Ihren Sektor. Dieses Verständnis ist die Grundlage für ein wirksames Programm zur Förderung des Sicherheitsbewusstseins. Wenn Sie die Arten von Bedrohungen kennen, mit denen Ihr Sektor oder Ihr Unternehmen wahrscheinlich konfrontiert wird, können Sie ein Schulungsprogramm für das Sicherheitsbewusstsein effektiver gestalten. Welche Cloud-Anwendungen verwendet Ihr Unternehmen zum Beispiel? Welche Art von Bedrohung ist für sie am gefährlichsten? Bieten Sie flexibles Arbeiten an und haben Sie Mitarbeiter im Außendienst? Gibt es ein Problem mit der gemeinsamen Nutzung von Passwörtern durch Ihre Mitarbeiter?
Auch die Anforderungen an die Einhaltung von Vorschriften können für Ihren Sektor spezifisch sein: So arbeiten Ihre Mitarbeiter möglicherweise mit großen Mengen hochsensibler Daten, die den DPA2018-Anforderungen entsprechen müssen. Denken Sie bei der Entwicklung eines maßgeschneiderten Awareness-Programms daran, die Besonderheiten der Datenschutzvorschriften zu berücksichtigen.
MetaCompliance-Tipp: Ihre Richtlinien und Verfahren sollten mit dem Awareness-Training übereinstimmen. Auf diese Weise kann das Security Awareness Training zur Durchsetzung von Sicherheitsprozessen genutzt werden.
Schritt 3: Machen Sie es real (und unterhaltsam)
Sicherheitsschulungen sollten praxisnah und menschenzentriert sein. Damit die Schulung ein Erfolg wird, muss das Programm bei der Zielgruppe ankommen. Es gibt viele Möglichkeiten, dies zu erreichen, und nicht alle Sicherheitsschulungen sind gleich gut. Die besten bieten interaktive und ansprechende Inhalte, die für die Mitarbeiter interessant sind. Wenn es Ihnen gelingt, das Interesse des Einzelnen aufrechtzuerhalten, ist es wahrscheinlicher, dass Sie aktives und nachhaltiges Lernen fördern.
Um ein Programm zu entwickeln, das gut funktioniert, um menschenzentrierte Cyber-Bedrohungen zu entschärfen, müssen die behandelten Themen die Arten von Bedrohungen widerspiegeln, denen Ihre Organisation ausgesetzt ist oder sein wird. Typische Themen, die abgedeckt werden sollten, sind:
- Passwort-Hygiene
- E-Mail-Betrug
- Malware und Wechselmedien
- Sicherheit im Internet
- Soziale Medien: Datenschutz und Sicherheit
- Einhaltung von Vorschriften und Bestimmungen und deren Auswirkungen auf die Mitarbeiter
Phishing-Simulationsübungen sind eine hervorragende Möglichkeit, den Mitarbeitern auf kreative und ansprechende Weise die Gefahren von Phishing-E-Mails zu vermitteln. Mehr dazu in Schritt 4...
MetaCompliance-Tipp: Was auch immer Ihr Sicherheitsprogramm enthält, es muss interaktive und ansprechende Inhalte bieten.
Schritt 4: Wie man einen Phish erkennt
In der Welt der Hacker ist das Phishing der Renner. Phishing hat sich im Laufe der Jahre zur bevorzugten Angriffsmethode entwickelt, und die Raffinesse ist das A und O. Phishing-Kampagnen sind ein großes Geschäft, und Modelle wie "Phishing-as-a-Service" versorgen Hacker auf der ganzen Welt mit den Werkzeugen, um Anmeldeinformationen und Daten zu stehlen und Netzwerke mit Malware, einschließlich Ransomware, zu infizieren. Die Schulung der Mitarbeiter in der Erkennung von Phishing-E-Mails ist daher ein wichtiges Instrument für ein erfolgreiches Sicherheitsbewusstsein.
Phishing-Simulationslösungen sind ein wichtiges Instrument im Schulungspaket des CISO. Phishing-Simulationen ermöglichen es einem Unternehmen, Phishing-Schulungen zu automatisieren, um Benutzer darin zu schulen, die verräterischen Zeichen von Phishing-Kampagnen zu erkennen.
MetaCompliance-Tipp: Verwenden Sie Phishing-Simulationsübungen als Teil eines umfassenderen Programms zur Sensibilisierung für Sicherheitsfragen und gestalten Sie sie so, dass sie die Arten von Phishing-Bedrohungen widerspiegeln, die auf Ihren Sektor abzielen.
Schritt 5: Messen, messen, messen
Es ist wichtig, die Auswirkungen und die Wirksamkeit eines Sicherheitsprogramms zu verstehen. Security-Awareness-Schulungen liefern oft Kennzahlen, die zeigen, wie effektiv sie waren. Einige Beispiele für Schulungsmetriken, die einen Einblick in die Effektivität des Programms geben können, sind:
Erhebungen (qualitativ): Fragebögen, die verwendet werden, um das Verständnis der Auszubildenden für das Programm und seine Durchführung zu untersuchen.
Phishing-Simulationsergebnisse (quantitativ): Zum Beispiel, wie viele Nutzer auf Phishing-Links geklickt haben, im Gegensatz dazu, wie viele das Unternehmen beim Erhalt einer Phishing-E-Mail alarmiert haben.
Berichtsmetriken (quantitativ und qualitativ): Wie viele Benutzer melden die in der Schulung festgestellten Sicherheitsprobleme?
Metriken können visualisiert werden, um den Teilnehmern und dem Management einen Überblick über das Feedback zu geben.
MetaCompliance-Tipp: Nutzen Sie die Metriken nicht nur für die Anpassung von Schulungsprogrammen, sondern auch für die Zuordnung zu den Sicherheitsrichtlinien und passen Sie diese an, um die während der Schulung ermittelten Problembereiche zu erfassen.
Schritt 6: Anpassung und Aktualisierung
Nutzen Sie die Metriken aus den Aufgaben und Ereignissen des Sicherheitsbewusstseins, um die Durchführung zukünftiger Iterationen der Sensibilisierungskampagne anzupassen. Die in Schritt 5 gesammelten Metriken werden dazu beitragen, die Schulungen effektiver zu gestalten. Die Programmverantwortlichen müssen jedoch regelmäßige Besprechungen abhalten, um sicherzustellen, dass die Schulungsprogramme die realen Herausforderungen der Cybersicherheit im Unternehmen widerspiegeln, denn Cybersicherheitsbedrohungen sind keine statischen Ereignisse. Wenn sich die Sicherheitslandschaft ändert, neue Mitarbeiter hinzukommen und neue Technologien in Ihrem Unternehmen eingesetzt werden, muss das Security Awareness Training an diese Veränderungen angepasst werden.
MetaCompliance-Tipp: Kombinieren Sie verschiedene Methoden zur Schulung der Mitarbeiter. Nutzen Sie eine Vielzahl von Optionen wie Spiele, Phishing-Simulationen, Poster, Newsletter und passen Sie diese im Laufe der Zeit an die Abteilung und die Anforderungen an das Sicherheitsbewusstsein an. Beziehen Sie Abteilungen aus dem gesamten Unternehmen in die Gestaltung und Entwicklung der Programme ein.
