Im Folgenden finden Sie einige Möglichkeiten, wie Sie die einzelnen Maßnahmen Ihres Schulungsprogramms für das Sicherheitsbewusstsein erfassen können.
Wenn etwas gemessen wird, erhalten wir Daten. Ganz gleich, ob es sich dabei um die Länge einer Schnur handelt oder um das veränderte Verhalten eines Mitarbeiters, der mit einer Phishing-E-Mail konfrontiert wurde, diese Daten geben uns wichtige Einblicke in eine Aufgabe oder ein Projekt.
Der Erfolg oder Misserfolg eines Security Awareness Training-Programms (SAT) kann auf mehr als eine Weise gemessen werden und liefert dabei wichtige Erkenntnisse über die Wirksamkeit der Schulung. Doch wie diese Messungen optimiert werden können, erfordert ein funktionsübergreifendes Team mit Weitblick.
Warum sollte man sich die Mühe machen, die Effektivität eines Schulungsprogramms für das Sicherheitsbewusstsein zu messen?
Ein kürzlich veröffentlichtes Papier von Gartner Inc. mit dem Titel "Take 3 Steps to Prove That Your Security Awareness Program Is Actually Working" (Führen Sie 3 Schritte aus, um zu beweisen, dass Ihr Programm zur Förderung des Sicherheitsbewusstseins tatsächlich funktioniert) legt das Warum und Wie bei der Messung eines SAT-Programms dar. Das Papier, das für Sicherheits- und Risikomanager geschrieben wurde, nennt drei Hauptgründe, warum die Messung von Security Awareness Training wichtig ist:
- Wenn Sie nicht nachweisen können, dass das Cyber-Risiko durch das Programm verringert wurde, wird die Führungsebene nicht bereit sein, das Sicherheitstraining fortzusetzen.
- Sicherheitsschulungen werden oft in Unternehmen durchgeführt, ohne dass eine klare Vorstellung davon besteht, was damit erreicht werden soll. Das Ergebnis ist ein Programm, das nicht die Verhaltensänderungen bewirkt, die zur Verringerung von Cyberrisiken erforderlich sind.
- Der Erfolg eines Security Awareness Trainings kann nicht anhand einzelner Variablen gemessen werden. Diese Programme enthalten viele Elemente, die erfasst werden müssen, um die tatsächlichen Auswirkungen eines SAT-Programms aufzuzeigen.
Einer der wichtigsten Punkte des Papiers ist, dass eine klare Vision die Grundlage für ein Programm zur Förderung des Sicherheitsbewusstseins bilden muss. Ohne diese klare Vision dessen, was man erreichen will, sind Messungen bedeutungslos. Anders ausgedrückt: Messungen sind effektiver, wenn sie einen Ausgangspunkt haben, mit dem sie verglichen werden können. Diese Vision muss jedoch direkt mit den Geschäftsergebnissen verknüpft sein. Eine Möglichkeit, diese Ausgangsbasis zu schaffen, besteht darin, einen funktionsübergreifenden Ansatz zu verfolgen, d. h. Teams über Unternehmensgrenzen hinweg zusammenzubringen, um zu ermitteln, was bei der Minderung von Cyberrisiken wichtig ist.
Dadurch wird die Vision der Cybersicherheit mit den Unternehmenszielen in Einklang gebracht. Dieser Ansatz ist eine fortlaufende Übung und eine bewährte Praxis, da Cyberangriffe in allen Wirtschaftszweigen ständige Verwüstungen verursachen. Geschäftliche und betriebliche Entscheidungen sind heute untrennbar mit der Sicherheit verbunden. Die Covid-19-Pandemie und das Mandat zur Heimarbeit haben dies deutlich gemacht: Heimarbeiter bieten mehr Möglichkeiten für Cyberkriminelle, ein Unternehmensnetzwerk über seine Mitarbeiter anzugreifen.
Aber eine Vision braucht nachweisbare Maßnahmen, um zu zeigen, dass sie ihren Auftrag erfüllt. Um der Führungsebene oder dem Vorstand zu zeigen, wie gut ein Programm vorankommt, sind harte Fakten erforderlich. Hier kommt die Messung ins Spiel.
Drei Wege, um den Erfolg eines Schulungsprogramms für Sicherheitsbewusstsein zu messen
In dem Gartner-Papier werden drei Schlüsselaspekte genannt, die beweisen, dass Ihr Sicherheitsbewusstseinsprogramm funktioniert. Diese drei Bereiche können wie folgt unterteilt werden:
Erzeugen Sie
Erarbeiten Sie eine auf der Sicherheitskultur basierende Vision: Welche Anforderungen stellt Ihr Unternehmen an das Programm zur Sensibilisierung für Sicherheitsfragen? Welches Sicherheitsverhalten soll sich aus der Schulung der Mitarbeiter zu Sicherheitsfragen ergeben?
Erfassen Sie
Erfassen der Metriken für das Sicherheitsverhalten: Erstellen Sie Metriken für das Sicherheitsbewusstsein, die eine sinnvolle und positive Änderung des Sicherheitsverhaltens belegen. Diese Metriken können die Form traditioneller Metriken für das Sicherheitsbewusstsein annehmen, z. B. aus Umfragen und Phishing-Simulationen.
Zeigen Sie
Nachweis der Verringerung des Risikos: Zeigen Sie dem Cx-Team nachvollziehbare Änderungen im Sicherheitsverhalten, die mit materiellen Ergebnissen in Form einer geringeren Gefährdung durch Cyber-Risiken verbunden sind.
Erfassung von Metriken und Verhaltensänderungen
Die Sicherheitsvision ist der Dreh- und Angelpunkt, um den sich die Erfassung von Metriken und Verhaltensnachweisen dreht. Diese Vision bildet dann den Beweis, der erforderlich ist, um dem Cx-Team zu zeigen, dass das Security Awareness Training funktioniert. Es gibt viele Möglichkeiten, Sicherheitsmetriken zu messen, und MetaCompliance hat die Messungen des Security Awareness Training in einem früheren Blogbeitrag erörtert.
Messungen liefern quantifizierbare Daten, die die Grundlage für eine ROI-Bewertung (Return on Investment) bilden. Eine einfache ROI-Gleichung erfasst jedoch nicht die positiven, anhaltenden Auswirkungen eines gut entwickelten Programms für Sicherheitsbewusstsein. Die zentrale Sicherheitsvision eines Unternehmens muss abgebildet werden, um Endresultate zu validieren, die das gesamte Cyber-Risiko eines Unternehmens reduzieren. Diese Vision einer sicheren Organisation muss sich in einer sicherheitsorientierten Denkweise und damit verbundenen Verhaltensänderungen niederschlagen.
Um Ihnen bei der Messung zu helfen, spricht das Gartner-Papier von "Signature Behaviours", die wie folgt beschrieben werden : "Signature Behaviours sind Verhaltensweisen, die eindeutig die positive Absicht und Unterstützung der Endbenutzer für die Verwirklichung der Security Awareness Vision widerspiegeln."
Gartner stellt einige Beispiele für erwünschte Sicherheitspraktiken den charakteristischen Sicherheitsverhaltensweisen gegenüber:
Praktizieren: Alle Endbenutzer verwenden sichere Passwörter
Verhaltensweisen: Wir verwenden immer Passphrasen, um unsere Passwörter für den Zugang zu unseren Arbeitskonten zu erstellen.
Üben: Überprüfen Sie Links, bevor Sie sie anklicken
Verhalten: Wir sind wachsam und melden verdächtige E-Mails an den IT-Service Desk
Arbeiten Sie im Rahmen Ihrer Sicherheitsvision mit Ihrem funktionsübergreifenden Team zusammen, um eine Reihe von charakteristischen Verhaltensweisen zu entwickeln, die dann zum Nachweis des Erfolgs des Security Awareness Training-Programms verwendet werden können.
Der Beweis des Puddings durch bessere Sicherheit
Letztendlich möchte ein Unternehmen sehen, dass sich seine Investitionen in ein Programm zur Erhöhung des Sicherheitsbewusstseins in einem geringeren Risiko widerspiegeln, dass seine Daten missbraucht werden. Durch die Bewertung des Signaturverhaltens im Vergleich zu den Bedrohungsarten kann ein Unternehmen eine einfache ROI-Gleichung mit einem Mehrwert anreichern.
Der Beweis für Sicherheitstraining ist der Pudding. Im Laufe der Zeit wird ein gut geplantes und wirksames Programm zur Schulung des Sicherheitsbewusstseins zu einem Rückgang der Cyberangriffe führen. Doch am Anfang steht eine starke Vision.
