Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sammlung von Best Practices in Security-Awareness

Frage Sicherheit

Mitglied: krella

krella (Level 1) - Jetzt verbinden

23.07.2010 um 13:38 Uhr, 5802 Aufrufe

Hallo Leute,

zu einem ganzheitlichen IT-Sicherheitskonzept bzw. Informations Sicherheits Management System gehört unweigerlich auch die Durchführung einer Security-Awareness-Kampagne, d.h. Sensibilisierung und Schulung der Belegschaft hinsichtlich dieses Themas.

Momentan arbeite ich an einem entsprechenden Schulungskonzept, welches auf den vier Phasen Aufmerksamkeit, Wissen vermitteln und Einstellungen verändern, Verstärkung der Wirkung und Öffentlichkeitsarbeit basiert.

In jeder Phase habe ich bestimmte Methoden vorgesehen, welche ich Euch gerne konzeptionell vorstellen möchte:


Phase 1: Aufmerksamkeit

Ziel dieser Phase ist es, die Mitarbeiter auf das Thema Informationssicherheit aufmerksam zu machen, sie über die Durchführung der Security-Awareness-Kampagne zu informieren und sie zur aktiven Teilnahme an den einzelnen Maßnahmen der Kampagne zu motivieren.

Methoden

1. Entwicklung eines Kampagnen-Logos und eines Slogans, welches die Kampagne von Anfang an begleitet, um einen hohen Wiedererkennungswert herzustellen
2. Planung und Durchführung einer Informationsveranstaltung (Notwendigkeit, Ziele, Gestaltung und Ausrichtung der Kampagne zum Thema Informationssicherheit) für Führungskräfte und Personalvertretungen. Bei dieser Gelegenheit werden die Teilnehmer dazu motiviert, bei der Gestaltung der Kampagne aktiv teilzunehmen, Vorbildfunktion zu sein, ihre Mitarbeiter zur aktiven Unterstützung der Kampagne aufzurufen und die Einhaltung der Informationssicherheits-Regularien einzuhalten.
3. Erstellung und Versand einer Vorstandsinformation zum Thema Informationssicherheit an an alle Mitarbeiter
4. Optional: Zur Erfolgsmessung der Security-Awareness-Kampagne kann in dieser Phase ein Umfrage an die Mitarbeiter über den aktuellen Stand zu Wissen und Einstellung zum Thema Informationssicherheit stattfinden. Dieser Stand könnte dann mit späteren Umfrageergebnissen verglichen werden.


Phase 2: Wissen vermitteln und Einstellungen verändern

In dieser Phase wird das Hintergrundwissen für das Verständnis von durchzuführenden Sicherheitsmaßnahmen vermittelt und soll die Einstellung und damit auch das individuelle Verhalten der MitarbeiterInnen im Umgang mit Informationen verbessern.

Diese Phase ist der wichtigste und zugleich aufwendigste Teil der Kampagne.

Hierbei es ist enorm wichtig, die Vermittlung des an sich trockenen Themas Informationssicherheit besonders lebhaft, abwechslungsreich und interessant zu gestalten.

Besonders die private Informationssicherheit der MitarbeiterInnen sollte hier als Element der Schulungen Berücksichtigung finden,.um den Bezug zum Thema relativ einfach herstellen zu können.

Methoden

1. Konzeption und Durchführung von Präsenzschulungen, in denen das Thema Informationssicherheit und die Inhalte der Dienstvereinbarungen vermittelt werden. Die Organisation der Schulungen wird von dem Team Personalentwicklung durchgeführt.
2. Auf den Intranetseiten werden Informationen zum Thema Informationssicherheit veröffentlicht. Dies können z. B. aktuelle Meldungen zur Bedrohungslage und Tips im Umgang mit Informationen sein.
3. Es soll ein individualisiertes Web Based Training bei der Vermittlung von Wissen unterstützen.

Schulungsveranstaltungen, Informationen und Newsletter werden inhaltlich mit eindrücklichen Beispielen zum Thema gefüllt, um die Einstellung und das Verhalten der Mitarbeiter in Bezug auf Informationssicherheit zu verbessern.

Schulungen und WBTs sind auf unterschiedliche Zielgruppen (Management, Adminstratoren, Sachbearbeiter) auszurichten.

Phase 3: Verstärkung der Wirkung

In dieser Phase wird eine dauerhafte Veränderung der Einstellung und des Verhaltens der MitarbeiterInnen angestrebt. Bestimmte Maßnahmen, sollen die Thematik im Bewusstsein verankern und die in Phase 2 erreichte Sensibilisierung wach halten.

Hierbei ist ein Maßnahmenmix zu empfehlen, da der Mensch auf unterschiedliche gestaltete Informationen unterschiedlich reagiert.

Methoden

1. Regelmäßige Versendung eines Newsletters.
2. Schaltung von Artikeln in der Mitarbeiterzeitschrift
3. Auf den Intranetseiten werden nun auch regelmäßig Informationen zum Thema Informationssicherheit veröffentlicht. Dies können z. B. aktuelle Meldungen zur Bedrohungslage und Tips im Umgang mit Informationen sein.
4. Erstellung und Verteilen von Plakaten / Aufklebern / Broschüren / Mauspads etc.
5. Implementierung eines Gewinnspieles
6. Küren eines Informationssicherheits-Mitarbeiter des Monats


Phase 4: Öffentlichkeitsarbeit

In dieser optionalen Phase kommuniziert die Firma die Durchführung der Kampagne an Versicherte und Vertragspartner, ggf. auch an die breite Öffentlichkeit, um ein positives Vertrauensimage zu vermitteln und den Unternehmenswert zu steigern.

Allerdings ist ein gewisses Risiko bei der Kommunikation an die breite Öffentlichkeit vorhanden, insofern z.B. Hacker dadurch erst auf die Firma aufmerksam gemacht werden, welche dann erst recht versuchen könnten die Informationssicherheit bei der Firma einmal auszutesten.

Methoden

Mögliche Methoden zur Kommunikation wären z.B. Artikel in der Kundenzeitschrift, in Fachzeitschriften oder auch Kundenmailings sowie Mitteilungen an externe Dienstleister.



Habt Ihr vielleicht darüber hinaus noch Ideen, die ich in so einer Kampagne verwenden könnte?
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Best Practices um Windows Server 2012 sicherheitstechnisch up-to-date zu halten (21)

Frage von hMueller zum Thema Windows Server ...

Windows Server
Active Directory - Best Practices? (16)

Frage von Strolch zum Thema Windows Server ...

Windows 10
Official Blog: Every Windows 10 in-place Upgrade is a SEVERE Security risk (7)

Link von Lochkartenstanzer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...