Sammlung von Best Practices in Security-Awareness
Hallo Leute,
zu einem ganzheitlichen IT-Sicherheitskonzept bzw. Informations Sicherheits Management System gehört unweigerlich auch die Durchführung einer Security-Awareness-Kampagne, d.h. Sensibilisierung und Schulung der Belegschaft hinsichtlich dieses Themas.
Momentan arbeite ich an einem entsprechenden Schulungskonzept, welches auf den vier Phasen Aufmerksamkeit, Wissen vermitteln und Einstellungen verändern, Verstärkung der Wirkung und Öffentlichkeitsarbeit basiert.
In jeder Phase habe ich bestimmte Methoden vorgesehen, welche ich Euch gerne konzeptionell vorstellen möchte:
Phase 1: Aufmerksamkeit
Ziel dieser Phase ist es, die Mitarbeiter auf das Thema Informationssicherheit aufmerksam zu machen, sie über die Durchführung der Security-Awareness-Kampagne zu informieren und sie zur aktiven Teilnahme an den einzelnen Maßnahmen der Kampagne zu motivieren.
Methoden
1. Entwicklung eines Kampagnen-Logos und eines Slogans, welches die Kampagne von Anfang an begleitet, um einen hohen Wiedererkennungswert herzustellen
2. Planung und Durchführung einer Informationsveranstaltung (Notwendigkeit, Ziele, Gestaltung und Ausrichtung der Kampagne zum Thema Informationssicherheit) für Führungskräfte und Personalvertretungen. Bei dieser Gelegenheit werden die Teilnehmer dazu motiviert, bei der Gestaltung der Kampagne aktiv teilzunehmen, Vorbildfunktion zu sein, ihre Mitarbeiter zur aktiven Unterstützung der Kampagne aufzurufen und die Einhaltung der Informationssicherheits-Regularien einzuhalten.
3. Erstellung und Versand einer Vorstandsinformation zum Thema Informationssicherheit an an alle Mitarbeiter
4. Optional: Zur Erfolgsmessung der Security-Awareness-Kampagne kann in dieser Phase ein Umfrage an die Mitarbeiter über den aktuellen Stand zu Wissen und Einstellung zum Thema Informationssicherheit stattfinden. Dieser Stand könnte dann mit späteren Umfrageergebnissen verglichen werden.
Phase 2: Wissen vermitteln und Einstellungen verändern
In dieser Phase wird das Hintergrundwissen für das Verständnis von durchzuführenden Sicherheitsmaßnahmen vermittelt und soll die Einstellung und damit auch das individuelle Verhalten der MitarbeiterInnen im Umgang mit Informationen verbessern.
Diese Phase ist der wichtigste und zugleich aufwendigste Teil der Kampagne.
Hierbei es ist enorm wichtig, die Vermittlung des an sich trockenen Themas Informationssicherheit besonders lebhaft, abwechslungsreich und interessant zu gestalten.
Besonders die private Informationssicherheit der MitarbeiterInnen sollte hier als Element der Schulungen Berücksichtigung finden,.um den Bezug zum Thema relativ einfach herstellen zu können.
Methoden
1. Konzeption und Durchführung von Präsenzschulungen, in denen das Thema Informationssicherheit und die Inhalte der Dienstvereinbarungen vermittelt werden. Die Organisation der Schulungen wird von dem Team Personalentwicklung durchgeführt.
2. Auf den Intranetseiten werden Informationen zum Thema Informationssicherheit veröffentlicht. Dies können z. B. aktuelle Meldungen zur Bedrohungslage und Tips im Umgang mit Informationen sein.
3. Es soll ein individualisiertes Web Based Training bei der Vermittlung von Wissen unterstützen.
Schulungsveranstaltungen, Informationen und Newsletter werden inhaltlich mit eindrücklichen Beispielen zum Thema gefüllt, um die Einstellung und das Verhalten der Mitarbeiter in Bezug auf Informationssicherheit zu verbessern.
Schulungen und WBTs sind auf unterschiedliche Zielgruppen (Management, Adminstratoren, Sachbearbeiter) auszurichten.
Phase 3: Verstärkung der Wirkung
In dieser Phase wird eine dauerhafte Veränderung der Einstellung und des Verhaltens der MitarbeiterInnen angestrebt. Bestimmte Maßnahmen, sollen die Thematik im Bewusstsein verankern und die in Phase 2 erreichte Sensibilisierung wach halten.
Hierbei ist ein Maßnahmenmix zu empfehlen, da der Mensch auf unterschiedliche gestaltete Informationen unterschiedlich reagiert.
Methoden
1. Regelmäßige Versendung eines Newsletters.
2. Schaltung von Artikeln in der Mitarbeiterzeitschrift
3. Auf den Intranetseiten werden nun auch regelmäßig Informationen zum Thema Informationssicherheit veröffentlicht. Dies können z. B. aktuelle Meldungen zur Bedrohungslage und Tips im Umgang mit Informationen sein.
4. Erstellung und Verteilen von Plakaten / Aufklebern / Broschüren / Mauspads etc.
5. Implementierung eines Gewinnspieles
6. Küren eines Informationssicherheits-Mitarbeiter des Monats
Phase 4: Öffentlichkeitsarbeit
In dieser optionalen Phase kommuniziert die Firma die Durchführung der Kampagne an Versicherte und Vertragspartner, ggf. auch an die breite Öffentlichkeit, um ein positives Vertrauensimage zu vermitteln und den Unternehmenswert zu steigern.
Allerdings ist ein gewisses Risiko bei der Kommunikation an die breite Öffentlichkeit vorhanden, insofern z.B. Hacker dadurch erst auf die Firma aufmerksam gemacht werden, welche dann erst recht versuchen könnten die Informationssicherheit bei der Firma einmal auszutesten.
Methoden
Mögliche Methoden zur Kommunikation wären z.B. Artikel in der Kundenzeitschrift, in Fachzeitschriften oder auch Kundenmailings sowie Mitteilungen an externe Dienstleister.
Habt Ihr vielleicht darüber hinaus noch Ideen, die ich in so einer Kampagne verwenden könnte?
zu einem ganzheitlichen IT-Sicherheitskonzept bzw. Informations Sicherheits Management System gehört unweigerlich auch die Durchführung einer Security-Awareness-Kampagne, d.h. Sensibilisierung und Schulung der Belegschaft hinsichtlich dieses Themas.
Momentan arbeite ich an einem entsprechenden Schulungskonzept, welches auf den vier Phasen Aufmerksamkeit, Wissen vermitteln und Einstellungen verändern, Verstärkung der Wirkung und Öffentlichkeitsarbeit basiert.
In jeder Phase habe ich bestimmte Methoden vorgesehen, welche ich Euch gerne konzeptionell vorstellen möchte:
Phase 1: Aufmerksamkeit
Ziel dieser Phase ist es, die Mitarbeiter auf das Thema Informationssicherheit aufmerksam zu machen, sie über die Durchführung der Security-Awareness-Kampagne zu informieren und sie zur aktiven Teilnahme an den einzelnen Maßnahmen der Kampagne zu motivieren.
Methoden
1. Entwicklung eines Kampagnen-Logos und eines Slogans, welches die Kampagne von Anfang an begleitet, um einen hohen Wiedererkennungswert herzustellen
2. Planung und Durchführung einer Informationsveranstaltung (Notwendigkeit, Ziele, Gestaltung und Ausrichtung der Kampagne zum Thema Informationssicherheit) für Führungskräfte und Personalvertretungen. Bei dieser Gelegenheit werden die Teilnehmer dazu motiviert, bei der Gestaltung der Kampagne aktiv teilzunehmen, Vorbildfunktion zu sein, ihre Mitarbeiter zur aktiven Unterstützung der Kampagne aufzurufen und die Einhaltung der Informationssicherheits-Regularien einzuhalten.
3. Erstellung und Versand einer Vorstandsinformation zum Thema Informationssicherheit an an alle Mitarbeiter
4. Optional: Zur Erfolgsmessung der Security-Awareness-Kampagne kann in dieser Phase ein Umfrage an die Mitarbeiter über den aktuellen Stand zu Wissen und Einstellung zum Thema Informationssicherheit stattfinden. Dieser Stand könnte dann mit späteren Umfrageergebnissen verglichen werden.
Phase 2: Wissen vermitteln und Einstellungen verändern
In dieser Phase wird das Hintergrundwissen für das Verständnis von durchzuführenden Sicherheitsmaßnahmen vermittelt und soll die Einstellung und damit auch das individuelle Verhalten der MitarbeiterInnen im Umgang mit Informationen verbessern.
Diese Phase ist der wichtigste und zugleich aufwendigste Teil der Kampagne.
Hierbei es ist enorm wichtig, die Vermittlung des an sich trockenen Themas Informationssicherheit besonders lebhaft, abwechslungsreich und interessant zu gestalten.
Besonders die private Informationssicherheit der MitarbeiterInnen sollte hier als Element der Schulungen Berücksichtigung finden,.um den Bezug zum Thema relativ einfach herstellen zu können.
Methoden
1. Konzeption und Durchführung von Präsenzschulungen, in denen das Thema Informationssicherheit und die Inhalte der Dienstvereinbarungen vermittelt werden. Die Organisation der Schulungen wird von dem Team Personalentwicklung durchgeführt.
2. Auf den Intranetseiten werden Informationen zum Thema Informationssicherheit veröffentlicht. Dies können z. B. aktuelle Meldungen zur Bedrohungslage und Tips im Umgang mit Informationen sein.
3. Es soll ein individualisiertes Web Based Training bei der Vermittlung von Wissen unterstützen.
Schulungsveranstaltungen, Informationen und Newsletter werden inhaltlich mit eindrücklichen Beispielen zum Thema gefüllt, um die Einstellung und das Verhalten der Mitarbeiter in Bezug auf Informationssicherheit zu verbessern.
Schulungen und WBTs sind auf unterschiedliche Zielgruppen (Management, Adminstratoren, Sachbearbeiter) auszurichten.
Phase 3: Verstärkung der Wirkung
In dieser Phase wird eine dauerhafte Veränderung der Einstellung und des Verhaltens der MitarbeiterInnen angestrebt. Bestimmte Maßnahmen, sollen die Thematik im Bewusstsein verankern und die in Phase 2 erreichte Sensibilisierung wach halten.
Hierbei ist ein Maßnahmenmix zu empfehlen, da der Mensch auf unterschiedliche gestaltete Informationen unterschiedlich reagiert.
Methoden
1. Regelmäßige Versendung eines Newsletters.
2. Schaltung von Artikeln in der Mitarbeiterzeitschrift
3. Auf den Intranetseiten werden nun auch regelmäßig Informationen zum Thema Informationssicherheit veröffentlicht. Dies können z. B. aktuelle Meldungen zur Bedrohungslage und Tips im Umgang mit Informationen sein.
4. Erstellung und Verteilen von Plakaten / Aufklebern / Broschüren / Mauspads etc.
5. Implementierung eines Gewinnspieles
6. Küren eines Informationssicherheits-Mitarbeiter des Monats
Phase 4: Öffentlichkeitsarbeit
In dieser optionalen Phase kommuniziert die Firma die Durchführung der Kampagne an Versicherte und Vertragspartner, ggf. auch an die breite Öffentlichkeit, um ein positives Vertrauensimage zu vermitteln und den Unternehmenswert zu steigern.
Allerdings ist ein gewisses Risiko bei der Kommunikation an die breite Öffentlichkeit vorhanden, insofern z.B. Hacker dadurch erst auf die Firma aufmerksam gemacht werden, welche dann erst recht versuchen könnten die Informationssicherheit bei der Firma einmal auszutesten.
Methoden
Mögliche Methoden zur Kommunikation wären z.B. Artikel in der Kundenzeitschrift, in Fachzeitschriften oder auch Kundenmailings sowie Mitteilungen an externe Dienstleister.
Habt Ihr vielleicht darüber hinaus noch Ideen, die ich in so einer Kampagne verwenden könnte?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 147536
Url: https://administrator.de/contentid/147536
Ausgedruckt am: 25.11.2024 um 14:11 Uhr