Erfahren Sie, wie Sie Ihre Mitarbeiter in Sachen Cybersecurity schulen können, um die Compliance-Vorschriften zu erfüllen.
Rapid7 Managed SOCDie Mitarbeiter zählen zur Angriffsfläche eines Unternehmens. Dafür zu sorgen, dass sie das Know-how haben, Bedrohungen von ihrer eigenen Person und der Organisation abzuwehren, bildet einen wichtigen Bestandteil eines soliden Sicherheitsprogramms. Wenn eine Organisation verschiedene Gesetzes- und Branchenvorschriften wie FISMA, PCI, HIPAA oder Sarbanes-Oxley befolgen muss, muss sie den Mitarbeitern eine Schulung für Cybersecurity anbieten, damit diese die gesetzlichen Vorschriften erfüllen können.
Je nach den internen Sicherheitsressourcen und dem Know-how in der Organisation kann es sinnvoll sein, einen Dritten einzubringen, der eine solche Schulung unterstützt. Unabhängig davon, ob externe Unterstützung genutzt wird, sollten die Führungskräfte des Unternehmens verstehen, wie diese Schulung aufgebaut wird, sich engagieren und während des gesamten Prozesses Feedback anbieten.
Jede Organisation setzt eine Schulungsart ein, die zu ihrer Kultur passt. Hier haben Sie eine Vielzahl von Optionen, darunter:
In einigen Fällen empfiehlt sich sogar eine Kombination dieser beiden Optionen. Die Schulung für IT-Sicherheit ist keine einmalige Übung. Ideal sind regelmäßige Schulungen über unterschiedliche Medien, besonders wenn die Organisation einen hohen Personalwechsel verzeichnet.
Auch sollte bei der Festlegung der zu behandelnden Themen das einzigartige Bedrohungsprofil des Unternehmens berücksichtigt werden. Zu den möglichen Themen können u. a. Folgende gehören:
Es ist sinnvoll, anhand von vorhandenen Verfahren die Wirksamkeit von Schulungen zu bewerten. Eine Möglichkeit hierfür wäre ein Quiz. Um den Ausgangsstand zu ermitteln, bietet es sich an, noch vor der Schulung einen Quiz durchzuführen, und diesen nach der Schulung zu wiederholen, um Veränderungen erkennen zu können. Sofern regelmäßig Phishing-Tests durchgeführt werden, sollten Organisationen darauf achten, ob sich die Reaktion der Mitarbeiter auf diese Tests nach der Schulung für Sicherheitsbewusstsein verbessert (oder verschlechtert).
Auch wenn es etwas weniger wissenschaftlich sein mag, können Organisationen auch versuchen, die Auswirkungen der Schulung an der Trendentwicklung der Zahl und Art von Sicherheitsvorfällen abzulesen, wenn neue Mitarbeiter und Ressourcen zum Unternehmen hinzustoßen. Es kann auch aufschlussreich sein, vor und nach der Schulung mal durch das Büro zu gehen, um nach frei einsehbaren Passwörtern, unversperrten Computern und potenziellen Sicherheitsrisiken zu sehen, um zu erkennen, ob sich das Verhalten geändert hat.
Für das Sicherheitsteam steht die Sicherheit an erster Stelle, aber andere Teams verfolgen andere Ziele. Organisationen sollten dies berücksichtigen. Im Idealfall findet eine rollenspezifische Schulung der Mitarbeiter statt, um sicherzugehen, dass die Schulungsthematik für die jeweilige Person und ihre Aufgaben relevant ist. So können die Mitarbeiter sich auf die für sie wichtigen Dinge konzentrieren und so schnell wie möglich zu ihrer Arbeit zurückkehren. Auf diese Weise wird auch dafür gesorgt, dass besonders risikoreiche Anwender wie Domänenadministratoren adäquat geschult werden, damit die für ihren Aufgabenbereich relevanten Risiken und Bedrohungen erfasst werden.
Wenn Sie die Richtlinien und Best-Practices mit den Mitarbeitern besprechen, achten Sie darauf, in jedem Fall zu erklären, warum die einzelnen Punkte wichtig sind. Die Benutzer beachten die Richtlinien viel eher, wenn sie den vollen Kontext verstehen und die Vorgehensweise als richtig ansehen. So wird das Risiko der Installation von beliebiger Software aus dem Internet sehr viel klarer, wenn die Person versteht, wie schnell gut verschleierte Ransomware alle Dateien auf ihrer Workstation verschlüsseln kann. Abschließend sollten Organisationen darauf achten, einzelne Mitarbeiter nicht bloßzustellen oder sich ihnen gegenüber herablassend zu verhalten, falls diese Mitarbeiter Probleme bei der Schulung haben. Teamleiter tun gut daran, eine vertrauensvolle Atmosphäre zu schaffen, in der alle Fragen und Meldungen von Vorfällen willkommen sind.
Am Ende der Schulung sollten die Benutzer das Gefühl haben, dass sie zum Schutz der Organisation beitragen und mit anderen Teams zusammenarbeiten können, um eine sicherere Umgebung zu schaffen. Damit diese Schulung erfolgreich ist, ist es wichtig, dass die individuellen Bedürfnisse und die Unternehmenskultur allen bekannt sind.