Gartner, Inc. sagt voraus, dass die Ausgaben für Sicherheit und Risikomanagement bis Ende 2021 voraussichtlich 150,4 Milliarden Dollar erreichen werden. Die Aufgabe des CISO (Chief Information Security Officer) war noch nie so wichtig wie heute, und es ist ein wichtiger Aspekt des Cybersicherheitsmanagements und der Risikokontrolle, dafür zu sorgen, dass das Budget sinnvoll eingesetzt wird. Die Schulung des Sicherheitsbewusstseins ist ein Bereich, der dazu beiträgt, Angriffe, die auf die Manipulation von Mitarbeitern abzielen, abzuschwächen. Dies wird durch einen Bericht von McKinsey untermauert, der sieben Aktionsbereiche aufzeigt, von denen der zweite darin besteht, Mitarbeiter an vorderster Front für die Durchführung von Sicherheitsschulungen zu gewinnen. Diese Konzentration auf das menschliche Element bei der Abwehr von Cyber-Bedrohungen bedeutet, dass ein CISO oft ein Budget für Security Awareness Training ausgibt.

Um jedoch sicherzustellen, dass ein Schulungsprogramm effektiv ist, bedarf es einer soliden Strategie. Hier finden Sie sechs Schritte zum Erfolg des Sicherheitsbewusstseins, die sicherstellen, dass Ihr Budget gut angelegt ist.

Sechs Schritte zur Maximierung des Erfolgs bei der Sicherheitsaufklärung

Die menschliche Komponente eines Cyberangriffs ist inzwischen gut bekannt. Untersuchungen haben ergeben, dass bei etwa 85 % aller Angriffe ein Mensch beteiligt ist, der durch einen Trick (oder auf andere Weise) dazu gebracht wird, den „Angriffsknopf“ zu drücken. Sicherheitsschulungen sind eine der anerkannten Methoden, um erfolgreiche Cyberangriffe zu verhindern, bei denen der Mensch im Mittelpunkt steht. Folglich werden die erwarteten Ausgaben für Security Awareness Programme bis 2027 voraussichtlich 10 Milliarden Dollar erreichen. Die folgenden sechs Schritte können Ihnen helfen, einen Erfolgsplan zu formulieren, um sicherzustellen, dass Ihr Budget gut angelegt ist.

Schritt 1: Akzeptanz in der Führungsetage und im Vorstand

Es versteht sich von selbst, dass Sie, wenn Sie Veränderungen bewirken wollen, die richtigen Leute dafür gewinnen müssen. Sicherheit ist das Problem aller, auch der Vorstandsebene. Ein positiver Ton von oben trägt dazu bei, die Einstellung zur Sicherheit zu ändern, die sich dann auf das gesamte Unternehmen überträgt. Wenn die Führungsebene und der Vorstand zustimmen, hat ein CISO die Macht, die Werkzeuge und Prozesse einzuführen, um das Unternehmen sicherer zu machen. Die Unterstützung der Führungsebene bildet das Rückgrat, das für den Aufbau einer Sicherheitskultur mithilfe eines Sicherheitstrainings erforderlich ist.

MetaCompliance-Tipp: Viele Datenschutzbestimmungen und -normen verlangen inzwischen ein Programm zur Förderung des Sicherheitsbewusstseins. Nutzen Sie diese Anforderungen, um die Notwendigkeit eines Programms zur Förderung des Sicherheitsbewusstseins voranzutreiben.

Schritt 2: Beginnen Sie ganz am Anfang

Kennen Sie Ihre Sicherheitsbedürfnisse, indem Sie die Bedrohungslandschaft bewerten, insbesondere in Bezug auf Ihren Sektor. Dieses Verständnis ist die Grundlage für ein effektives Programm zum Sicherheitsbewusstsein. Wenn Sie die Arten von Bedrohungen kennen, mit denen Ihr Sektor oder Ihr Unternehmen wahrscheinlich konfrontiert wird, können Sie ein Trainingsprogramm für das Sicherheitsbewusstsein effektiver gestalten. Welche Cloud-Anwendungen verwendet Ihr Unternehmen zum Beispiel? Durch welche Art von Bedrohung sind sie am meisten gefährdet? Bieten Sie flexibles Arbeiten an und haben Sie Mitarbeiter im Außendienst? Gibt es ein Problem mit der gemeinsamen Nutzung von Passwörtern durch Ihre Mitarbeiter?

Auch die Anforderungen an die Einhaltung von Vorschriften können für Ihren Sektor spezifisch sein: So arbeiten Ihre Mitarbeiter möglicherweise mit großen Mengen hochsensibler Daten, die den DPA2018-Anforderungen entsprechen müssen. Denken Sie bei der Entwicklung eines maßgeschneiderten Awareness-Programms daran, die Besonderheiten der Datenschutzbestimmungen zu berücksichtigen.

MetaCompliance-Tipp: Ihre Richtlinien und Verfahren sollten mit dem Awareness-Training übereinstimmen. Auf diese Weise kann das Security Awareness Training zur Durchsetzung von Sicherheitsprozessen beitragen.

Schritt 3: Machen Sie es echt (und unterhaltsam)

Sicherheitsschulungen sollten praxisnah und menschenzentriert sein. Damit die Schulung ein Erfolg wird, muss das Programm bei der Zielgruppe ankommen. Es gibt viele Möglichkeiten, dies zu erreichen, und nicht alle Programme zum Sicherheitsbewusstsein sind gleich. Die besten bieten interaktive und ansprechende Inhalte, die für die Mitarbeiter interessant sind. Wenn es Ihnen gelingt, das Interesse des Einzelnen aufrechtzuerhalten, ist es wahrscheinlicher, dass Sie aktives und nachhaltiges Lernen fördern.

Um ein Programm zu entwickeln, das gut funktioniert, um menschenzentrierte Cyber-Bedrohungen zu entschärfen, müssen die behandelten Themen die Arten von Bedrohungen widerspiegeln, denen Ihr Unternehmen ausgesetzt ist oder sein wird. Typische Themen, die abgedeckt werden sollten, sind:

  • Passwort-Hygiene
  • E-Mail-Betrug
  • Malware und Wechselmedien
  • Sicher im Internet sein
  • Soziale Medien: Datenschutz und Sicherheit
  • Compliance und Vorschriften und deren Auswirkungen auf die Mitarbeiter

Phishing-Simulationsübungen sind eine hervorragende Möglichkeit, Mitarbeitern auf kreative und ansprechende Weise die Gefahren von Phishing-E-Mails zu vermitteln. Mehr dazu in Schritt 4…

MetaCompliance-Tipp: Was auch immer Ihr Sicherheitsprogramm enthält, es muss interaktive und ansprechende Inhalte bieten.

Schritt 4: Wie man einen Phish erkennt

Phishing ist in der Welt der Hacker das Maß aller Dinge. Phishing ist im Laufe der Jahre zur beliebtesten Angriffsmethode geworden, und die Raffinesse ist das A und O des Spiels. Phishing-Kampagnen sind ein großes Geschäft und Modelle wie „Phishing-as-a-Service“ versorgen Hacker auf der ganzen Welt mit den Werkzeugen, um Anmeldeinformationen und Daten zu stehlen und Netzwerke mit Malware, einschließlich Ransomware, zu infizieren. Wenn Sie Ihren Mitarbeitern beibringen, wie sie Phishing-E-Mails erkennen können, ist das ein wichtiges Instrument für ein erfolgreiches Sicherheitsbewusstsein.

Phishing-Simulationslösungen sind ein wichtiges Instrument im Schulungspaket des CISOs. Phishing-Simulationen ermöglichen es einem Unternehmen, Phishing-Schulungen zu automatisieren, um Benutzer darin zu schulen, die verräterischen Zeichen von Phishing-Kampagnen zu erkennen.

MetaCompliance-Tipp: Verwenden Sie Phishing-Simulationsübungen als Teil eines umfassenderen Programms zur Förderung des Sicherheitsbewusstseins und gestalten Sie sie so, dass sie die Arten von Phishing-Bedrohungen widerspiegeln, die auf Ihren Sektor abzielen.

Schritt 5: Messen, messen, messen

Es ist wichtig, die Auswirkungen und die Effektivität eines Security Awareness Programms zu verstehen. Security Awareness-Schulungen liefern oft Kennzahlen, die zeigen, wie effektiv sie waren. Einige Beispiele für Trainingsmetriken, die einen Einblick in die Effektivität des Programms geben können, sind:

Umfragen (qualitativ): Fragebögen, die verwendet werden, um das Verständnis der Teilnehmer für das Programm und seine Durchführung zu erkunden.

Phishing-Simulationsergebnisse (quantitativ): Zum Beispiel, wie viele Benutzer auf Phishing-Links geklickt haben, im Gegensatz dazu, wie viele das Unternehmen beim Erhalt einer Phishing-E-Mail alarmiert haben.

Berichtsmetriken (quantitativ und qualitativ): Wie viele Benutzer melden Sicherheitsprobleme, die in der Schulung festgestellt wurden?

Metriken können visualisiert werden, um den Teilnehmern und dem Management einen Überblick über die Ergebnisse zu geben.

MetaCompliance-Tipp: Nutzen Sie die Metriken nicht nur zur Anpassung von Schulungsprogrammen, sondern auch zur Zuordnung zu Sicherheitsrichtlinien und passen Sie diese an, um die während der Schulung identifizierten Problembereiche zu erfassen.

Schritt 6: Anpassen und aktualisieren

Verwenden Sie die Metriken aus den Aufgaben und Ereignissen zur Sicherheitsaufklärung, um Ihre zukünftigen Iterationen der Aufklärungskampagne anzupassen. Die in Schritt 5 gesammelten Metriken werden dazu beitragen, die Schulungen effektiver zu gestalten. Die Programmverantwortlichen müssen jedoch regelmäßige Treffen veranstalten, um sicherzustellen, dass die Schulungsprogramme die realen Herausforderungen der Cybersicherheit im Unternehmen widerspiegeln, denn Cybersicherheitsbedrohungen sind keine statischen Ereignisse. Wenn sich die Sicherheitslandschaft ändert, wenn neue Mitarbeiter an Bord kommen und wenn neue Technologien in Ihrem Unternehmen eingesetzt werden, muss das Sicherheitstraining an diese Veränderungen angepasst werden.

MetaCompliance-Tipp: Kombinieren Sie verschiedene Arten der Mitarbeiterschulung. Nutzen Sie eine Vielzahl von Optionen wie Spiele, Phishing-Simulationen, Poster, Newsletter und passen Sie diese im Laufe der Zeit an die Abteilung und die Anforderungen an das Sicherheitsbewusstsein an. Beziehen Sie alle Abteilungen des Unternehmens in die Gestaltung und Entwicklung der Programme ein.