Nimmt Ihre Organisation Sicherheit ernst? Wissen Ihre Benutzer, wie Sie Social-Engineering-Angriffe abwehren können? Haben die tragbaren Geräte Ihres Unternehmens die Datenverschlüsselung aktiviert? Wenn Sie auf eine dieser Fragen mit "Nein" oder "Ich weiß nicht" geantwortet haben, bietet Ihr Unternehmen keine Schulungen für Sicherheitsbewusstsein an.
Wikipedia definiert Sicherheitsbewusstsein als das Wissen und die Einstellung, die Mitglieder einer Organisation bezüglich des Schutzes sowohl des physischen als auch des Informationsbestands der Organisation besitzen.
In aller Kürze: lose Lippen versenken Schiffe. Das ist wirklich der Kern des Sicherheitsbewusstseins, Charlie Brown.
Wenn Sie für die Informationsressourcen Ihrer Organisation verantwortlich sind, sollten Sie auf jeden Fall ein Schulungsprogramm für Sicherheitsbewusstsein entwickeln und implementieren. Das Ziel sollte sein, Ihre Mitarbeiter darauf aufmerksam zu machen, dass es böse Menschen auf der Welt gibt, die Informationen stehlen und organisatorische Ressourcen beschädigen möchten.
Ein gutes Schulungsprogramm zum Thema Sicherheitsbewusstsein wird stolz darauf sein, die Daten und Ressourcen Ihres Unternehmens zu besitzen. Mitarbeiter werden Bedrohungen für ihre Organisation als Bedrohung für ihren Lebensunterhalt sehen. Ein schlechtes Sicherheitsbewusstsein wird die Menschen paranoid und nachtragend machen.
Sehen wir uns einige Tipps zum Erstellen eines effektiven Schulungsprogramms für Sicherheitsbewusstsein an:
Informieren Sie die Benutzer über die Arten realer Bedrohungen, denen sie begegnen können
Die Schulung zur Sensibilisierung für das Sicherheitsbewusstsein sollte die Aufklärung der Benutzer über Sicherheitskonzepte umfassen, z. B. das Erkennen von Social-Engineering-Angriffen, Malware-Angriffen, Phishing-Taktiken und andere Arten von Bedrohungen, auf die sie möglicherweise stoßen. Auf unserer Fight Cybercrime-Seite finden Sie eine Liste der Cyber-Criminal-Bedrohungen und -Techniken.
Lehren Sie die verlorene Kunst des Passwortbaus
Während viele von uns wissen, wie man ein starkes Passwort erstellt, gibt es immer noch viele Leute, die nicht wissen, wie einfach es ist, ein schwaches Passwort zu knacken. Erläutern Sie den Vorgang des Kennwort-Crackings und die Funktionsweise von Offline-Cracking-Tools, z. B. mit Rainbow Tables. Sie verstehen vielleicht nicht alle technischen Besonderheiten, aber sie werden zumindest feststellen, wie einfach es ist, ein schlecht konstruiertes Passwort zu knacken. Dies könnte sie dazu inspirieren, ein wenig kreativer zu sein, wenn es an der Zeit ist, ein neues Passwort zu erstellen.
Informationsschutz im Fokus
Viele Unternehmen sagen ihren Mitarbeitern, sie sollten es vermeiden, während des Mittagessens über Unternehmensangelegenheiten zu diskutieren, weil Sie nie wissen, wer ihnen zugehört. Sie müssen ihnen jedoch nicht immer aufpassen, was sie auf Social-Media-Websites sagen. Ein einfaches Facebook-Statusupdate darüber, wie verrückt Sie sind, dass das Produkt, an dem Sie gerade arbeiten, nicht rechtzeitig veröffentlicht wird, kann für Konkurrenten, die Ihren Statusbeitrag sehen, nützlich sein, falls Ihre Datenschutzeinstellungen zu unzulänglich sind. Bringen Sie Ihren Mitarbeitern bei, dass lose Tweets und Statusaktualisierungen auch Schiffe versenken.
Konkurrierende Unternehmen können soziale Netzwerke suchen, die nach Mitarbeitern ihrer Konkurrenz suchen, um die Produktinformation zu gewinnen, wer an was arbeitet, usw.
Social Media ist noch eine relativ neue Grenze in der Geschäftswelt, und viele Sicherheitsmanager tun sich schwer damit. Die Zeiten, in denen es nur an der Firewall des Unternehmens blockiert wurde, sind vorbei. Social Media ist mittlerweile ein fester Bestandteil der Geschäftsmodelle vieler Unternehmen. Informieren Sie die Benutzer darüber, was sie auf Facebook, Twitter, LinkedIn und anderen Social-Media-Sites posten sollten und sollten.
Sichern Sie Ihre Regeln mit möglichen Konsequenzen
Sicherheitsrichtlinien ohne Zähne sind für Ihr Unternehmen nichts wert. Holen Sie sich das Management Buy-In und schaffen Sie klare Konsequenzen für Benutzeraktionen oder Nichthandlungen. Die Benutzer müssen wissen, dass sie die Pflicht haben, die in ihrem Besitz befindlichen Informationen zu schützen, und ihr Bestes tun, um sie vor Schaden zu schützen.
Machen Sie sie darauf aufmerksam, dass es sowohl zivilrechtliche als auch strafrechtliche Konsequenzen für die Weitergabe sensibler und / oder proprietärer Informationen, die Manipulation von Unternehmensressourcen usw. gibt.
Das Rad nicht neu erfinden
Sie müssen nicht bei Null anfangen. Das National Institute of Standards and Technology (NIST) hat buchstäblich das Buch über die Entwicklung eines Schulungsprogramms für Sicherheitsbewusstsein verfasst, und das Beste ist, es ist kostenlos. Laden Sie die NIST-Sonderpublikation 800-50 herunter - Aufbau eines Sensibilisierungs- und Schulungsprogramms für Informationstechnologie, um zu lernen, wie Sie Ihre eigenen entwickeln können.
