Schulungen zum Sicherheitsbewusstsein

    9 Wege zum Aufbau einer robusten Cybersecurity-Kultur

    Wirksame Cybersicherheit erfordert eine durchgängige Unternehmenskultur, in der jeder weiß, was zu tun ist, und sich dafür einsetzt.

    by Bill Camarda
    1213479385.jpg

    Wichtige Punkte

    • Die Schaffung einer Kultur der Cybersicherheit erfordert eine ehrliche, verständliche Kommunikation, die die Mitarbeiter für ein gemeinsames Ziel motiviert.
    • Die dafür notwendigen Schulungen zum Thema Cybersicherheit sollten relevant, unterhaltsam und fortlaufend sein.
    • Ein positiver und konstruktiver Ansatz funktioniert fast immer besser als ein strafender und angstauslösender.

    Auch wenn fortschrittliche Technologien wie KI und maschinelles Lernen zu einem wesentlichen Bestandteil der Cybersicherheit geworden sind, reichen sie noch nicht aus. Die meisten CISOs und Cybersicherheitsexperten sind sich bewusst, dass Technologie allein nie ein ausreichender Schutz sein wird. Wenn es um Sicherheit geht, werden abgelenkte Menschen immer das schwächste Glied sein, und die Kultivierung einer Kultur der Cybersicherheit ist entscheidend für die Verteidigung Ihres Unternehmens.

    Eine Möglichkeit, die Kultur der Cybersicherheit in Ihrem Unternehmen zu betrachten, besteht darin, "was mit der Sicherheit passiert, wenn die Mitarbeiter sich selbst überlassen werden". [1] Sind die Mitarbeiter bereit, über Sicherheit nachzudenken und das Richtige zu tun, wenn es darauf ankommt? Wenn ja, dann hat die Sicherheitskultur des Unternehmens ihre Reaktion und ihr Verhalten geprägt - und diese Kultur zu stärken bedeutet, aktiv einzugreifen, um mehr Reaktionen und Verhaltensweisen zu gewährleisten, die Sie brauchen. Genau dafür sind Schulungen zum Thema Cybersicherheit gedacht - und hier sind neun Möglichkeiten, sie so effektiv wie möglich zu gestalten:

    1. Erklären Sie, was auf dem Spiel steht

    Es ist überraschend, aber in vielen Unternehmen wissen die Mitarbeiter immer noch nicht, welchen Wert das hat, was sie schützen sollen. Erklären Sie es ihnen. Zum Beispiel: sensible Kundendaten, von denen sie wollen, dass sie geheim bleiben, wenn sie Ihr Kunde wären; Wettbewerbsgeheimnisse wie Marketinginitiativen und Produktforschung; Informationen, zu deren Schutz das Unternehmen gesetzlich verpflichtet ist, wie z. B. HIPAA-geschützte Krankenakten. Erläutern Sie, wie sich all dies auf den Ruf des Unternehmens und sogar auf sein Überleben auswirkt, da es für Verstöße oder Verletzungen öffentlich zur Rechenschaft gezogen werden könnte.

    Die Arbeitnehmer müssen sich auch darüber im Klaren sein, dass in diesem neuen Zeitalter der Heimarbeit jeder, der es auf ihren Arbeitgeber abgesehen hat, auch ihren Haushalt ins Visier nimmt; indem sie das Unternehmen schützen, schützen sie auch sich selbst.

    2. Stellen Sie sicher, dass die Leute wissen, dass Sie ihre Hilfe wirklich brauchen

    Sicherheitsprofis wissen vielleicht, dass technische Schutzmaßnahmen nicht narrensicher sind, aber viele einfache Mitarbeiter wissen das nicht. Manche glauben immer noch, sie könnten anklicken, was sie wollen, weil die Sicherheitssysteme des Unternehmens sie immer schützen werden. Sie müssen verstehen, dass keine Sicherheitsmaßnahmen perfekt sind und dass es an ihnen liegt, Bedrohungen zu minimieren und unnötige Risiken zu vermeiden.

    3. Erklären Sie, warum Sie tun, was Sie tun

    Es reicht nicht aus, die Mitarbeiter für die Sicherheit zu sensibilisieren, wenn Sie sie nicht auf dem Laufenden halten. Wenn Sie also zusätzliche Maßnahmen ergreifen, wie das Hinzufügen eines VPN oder das Erfordernis einer Zwei-Faktor-Authentifizierung, müssen Sie den Grund für diese Änderungen erläutern und erklären, warum sich die Unannehmlichkeiten im Hinblick auf einen besseren Schutz vor Bedrohungen lohnen.[2]

    4. Machen Sie es den Mitarbeitern leicht, das Richtige zu tun

    Fragen Sie sich selbst: Wissen die Mitarbeiter, wo sie eine verdächtige E-Mail melden oder wie sie die Echtheit eines geschäftsbezogenen Anrufs überprüfen können? Gibt es eine einfache Möglichkeit für sie, sich mit der Unternehmenssicherheit in Verbindung zu setzen, um eine Frage zu stellen oder um Rat zu fragen? [3]

    5. Legen Sie die Willkommensmatte aus

    Bedeutet die "Funkstille" eines Mitarbeiters, dass alles in Ordnung ist, oder dass die Person Angst hat, sich zu melden, weil sie fürchtet, bestraft oder bevormundet zu werden? In zu vielen Unternehmen denken die Mitarbeiter, dass eine Kontaktaufnahme mit dem Cybersicherheitsteam bedeutet, dass sie etwas Schlimmes falsch gemacht haben. Unternehmen mit einer starken Cybersicherheitskultur zerstreuen diese Ängste durch routinemäßige Kommunikation und zwanglose Kontaktaufnahme.[4]

    6. Konstruktiv sein, nicht strafend

    Es ist immer wieder bewiesen worden: Gutes Verhalten zu belohnen funktioniert viel besser als Fehler zu bestrafen. Die Angst vor Repressalien führt nur zu zähneknirschendem Einverständnis, nicht aber zu der von Ihnen gewünschten größeren Akzeptanz. Und wenn Menschen Angst haben, einen Fehltritt zuzugeben, suchen sie nach Möglichkeiten, ihr Verhalten zu verbergen, was die Risiken für das Unternehmen nur erhöht.

    7. Cybersecurity-Schulungen müssen Spaß machen, ansprechend und verständlich sein und kontinuierlich durchgeführt werden

    Das Schlimmste, was Sie tun können, ist, Cybersicherheitsschulungen als eine einmalige Übung zur Einhaltung von Vorschriften zu präsentieren. Wenn Sie Ihr Publikum abschrecken und das Thema verharmlosen wollen, gibt es ehrlich gesagt keinen besseren Weg.[5]

    Wenn Sie möchten, dass Ihre Mitarbeiter das Thema Cybersicherheit ernst nehmen, gehen Sie den umgekehrten Weg. Bieten Sie Schulungen an, die Spaß machen und auf realen Erfahrungen beruhen, und vermitteln Sie sie in mundgerechten, leicht zu verstehenden Präsentationen in einfachem Englisch. Kurze und häufige Lektionen machen das Thema nicht nur leicht verdaulich, sondern vermitteln auch die Botschaft, dass Cybersicherheit jetzt ein fester und wichtiger Bestandteil des Unternehmenslebens ist.

    8. Verleihen Sie Ihrem Training eine kräftige Dosis Realitätssinn

    Relevanz ist Gold wert. Nutzen Sie bei Ihren Schulungen zum Thema Cybersicherheit jede Gelegenheit, um sie auf reale Vorfälle zu stützen - entweder in Ihrem Unternehmen oder in den Nachrichten. Statistiken - so aussagekräftig sie auch sein mögen - sind leicht zu vergessen. Aber die Menschen werden sich immer an die Lektionen eines Vorfalls erinnern, an dem Menschen beteiligt sind, mit denen sie arbeiten, und an Umstände, mit denen sie sich identifizieren können.

    9. Ermutigung von Führungskräften, den Weg zu gehen

    Die leitenden Angestellten Ihres Unternehmens sind die größten Ziele von Cyberkriminellen; deshalb werden sie auch als "Wale" bezeichnet. Diese Büroangestellten haben den besten Zugang zu unternehmenskritischen Systemen und die meisten Befugnisse, um Geld zu überweisen und auszugeben. Leider gehören sie in vielen Unternehmen auch zu den widerstandsfähigsten, wenn es darum geht, eine gute Cyber-Hygiene aufrechtzuerhalten.[6] Mit anderen Worten: Ihr Führungsteam braucht regelmäßige Cybersicherheitsschulungen mindestens genauso sehr wie alle anderen - obwohl ihre Schulungen auch betonen sollten, warum sie die Top-Ziele für kriminelle Hacker sind und wie das Beispiel, das sie geben, die Kultur der gesamten Organisation in Bezug auf Cybersicherheit entweder verunglimpfen oder verbessern kann.

    Die Quintessenz

    Selbst die ausgeklügeltsten Sicherheitstechnologien sind nur so effektiv wie die Menschen, die sie einsetzen, und um die Mitarbeiter dazu zu bringen, ihr Bestes zu geben, bedarf es einer starken Kultur der Cybersicherheit. Ein Schulungsprogramm für das Bewusstsein für Cybersicherheit, das alle neun bewährten Schulungspraktiken berücksichtigt, ist das beste Werkzeug für Cyberexperten, um diese Kultur aufzubauen - eine Kultur, die als Anker für die Cyberverteidigung Ihres Unternehmens dienen kann.

     

    [1] "6 Wege zur Entwicklung einer Sicherheitskultur von oben nach unten," TechBeacon

    [2] "Die Wichtigkeit von Schulungen: Cybersecurity Awareness als Firewall," Forbes

    [3] "Mitarbeiterberichte," US Cybersecurity Magazine

    [4] "Cyber-Sicherheitskultur: Warum sie für Ihr Unternehmen wichtig ist," CyberTrails

    [5] "Machen Sie Sicherheitsschulungen nicht zu einer einmaligen Angelegenheit." Dark Reading

    [6] "Wie wichtig sind Schulungen zum Sicherheitsbewusstsein für Führungskräfte?" TechTarget

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang