Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sammlung von Best Practices in Security-Awareness

Frage Sicherheit

Mitglied: krella

krella (Level 1) - Jetzt verbinden

23.07.2010 um 13:38 Uhr, 5875 Aufrufe

Hallo Leute,

zu einem ganzheitlichen IT-Sicherheitskonzept bzw. Informations Sicherheits Management System gehört unweigerlich auch die Durchführung einer Security-Awareness-Kampagne, d.h. Sensibilisierung und Schulung der Belegschaft hinsichtlich dieses Themas.

Momentan arbeite ich an einem entsprechenden Schulungskonzept, welches auf den vier Phasen Aufmerksamkeit, Wissen vermitteln und Einstellungen verändern, Verstärkung der Wirkung und Öffentlichkeitsarbeit basiert.

In jeder Phase habe ich bestimmte Methoden vorgesehen, welche ich Euch gerne konzeptionell vorstellen möchte:


Phase 1: Aufmerksamkeit

Ziel dieser Phase ist es, die Mitarbeiter auf das Thema Informationssicherheit aufmerksam zu machen, sie über die Durchführung der Security-Awareness-Kampagne zu informieren und sie zur aktiven Teilnahme an den einzelnen Maßnahmen der Kampagne zu motivieren.

Methoden

1. Entwicklung eines Kampagnen-Logos und eines Slogans, welches die Kampagne von Anfang an begleitet, um einen hohen Wiedererkennungswert herzustellen
2. Planung und Durchführung einer Informationsveranstaltung (Notwendigkeit, Ziele, Gestaltung und Ausrichtung der Kampagne zum Thema Informationssicherheit) für Führungskräfte und Personalvertretungen. Bei dieser Gelegenheit werden die Teilnehmer dazu motiviert, bei der Gestaltung der Kampagne aktiv teilzunehmen, Vorbildfunktion zu sein, ihre Mitarbeiter zur aktiven Unterstützung der Kampagne aufzurufen und die Einhaltung der Informationssicherheits-Regularien einzuhalten.
3. Erstellung und Versand einer Vorstandsinformation zum Thema Informationssicherheit an an alle Mitarbeiter
4. Optional: Zur Erfolgsmessung der Security-Awareness-Kampagne kann in dieser Phase ein Umfrage an die Mitarbeiter über den aktuellen Stand zu Wissen und Einstellung zum Thema Informationssicherheit stattfinden. Dieser Stand könnte dann mit späteren Umfrageergebnissen verglichen werden.


Phase 2: Wissen vermitteln und Einstellungen verändern

In dieser Phase wird das Hintergrundwissen für das Verständnis von durchzuführenden Sicherheitsmaßnahmen vermittelt und soll die Einstellung und damit auch das individuelle Verhalten der MitarbeiterInnen im Umgang mit Informationen verbessern.

Diese Phase ist der wichtigste und zugleich aufwendigste Teil der Kampagne.

Hierbei es ist enorm wichtig, die Vermittlung des an sich trockenen Themas Informationssicherheit besonders lebhaft, abwechslungsreich und interessant zu gestalten.

Besonders die private Informationssicherheit der MitarbeiterInnen sollte hier als Element der Schulungen Berücksichtigung finden,.um den Bezug zum Thema relativ einfach herstellen zu können.

Methoden

1. Konzeption und Durchführung von Präsenzschulungen, in denen das Thema Informationssicherheit und die Inhalte der Dienstvereinbarungen vermittelt werden. Die Organisation der Schulungen wird von dem Team Personalentwicklung durchgeführt.
2. Auf den Intranetseiten werden Informationen zum Thema Informationssicherheit veröffentlicht. Dies können z. B. aktuelle Meldungen zur Bedrohungslage und Tips im Umgang mit Informationen sein.
3. Es soll ein individualisiertes Web Based Training bei der Vermittlung von Wissen unterstützen.

Schulungsveranstaltungen, Informationen und Newsletter werden inhaltlich mit eindrücklichen Beispielen zum Thema gefüllt, um die Einstellung und das Verhalten der Mitarbeiter in Bezug auf Informationssicherheit zu verbessern.

Schulungen und WBTs sind auf unterschiedliche Zielgruppen (Management, Adminstratoren, Sachbearbeiter) auszurichten.

Phase 3: Verstärkung der Wirkung

In dieser Phase wird eine dauerhafte Veränderung der Einstellung und des Verhaltens der MitarbeiterInnen angestrebt. Bestimmte Maßnahmen, sollen die Thematik im Bewusstsein verankern und die in Phase 2 erreichte Sensibilisierung wach halten.

Hierbei ist ein Maßnahmenmix zu empfehlen, da der Mensch auf unterschiedliche gestaltete Informationen unterschiedlich reagiert.

Methoden

1. Regelmäßige Versendung eines Newsletters.
2. Schaltung von Artikeln in der Mitarbeiterzeitschrift
3. Auf den Intranetseiten werden nun auch regelmäßig Informationen zum Thema Informationssicherheit veröffentlicht. Dies können z. B. aktuelle Meldungen zur Bedrohungslage und Tips im Umgang mit Informationen sein.
4. Erstellung und Verteilen von Plakaten / Aufklebern / Broschüren / Mauspads etc.
5. Implementierung eines Gewinnspieles
6. Küren eines Informationssicherheits-Mitarbeiter des Monats


Phase 4: Öffentlichkeitsarbeit

In dieser optionalen Phase kommuniziert die Firma die Durchführung der Kampagne an Versicherte und Vertragspartner, ggf. auch an die breite Öffentlichkeit, um ein positives Vertrauensimage zu vermitteln und den Unternehmenswert zu steigern.

Allerdings ist ein gewisses Risiko bei der Kommunikation an die breite Öffentlichkeit vorhanden, insofern z.B. Hacker dadurch erst auf die Firma aufmerksam gemacht werden, welche dann erst recht versuchen könnten die Informationssicherheit bei der Firma einmal auszutesten.

Methoden

Mögliche Methoden zur Kommunikation wären z.B. Artikel in der Kundenzeitschrift, in Fachzeitschriften oder auch Kundenmailings sowie Mitteilungen an externe Dienstleister.



Habt Ihr vielleicht darüber hinaus noch Ideen, die ich in so einer Kampagne verwenden könnte?
Ähnliche Inhalte
Windows Server
Remotedesktopdienste - Best Practice (1)

Frage von ArnoNymous zum Thema Windows Server ...

Windows Server
gelöst SQL Server Best Practice (13)

Frage von Cloudy zum Thema Windows Server ...

Debian
Best Practice CheckMK Hosting (8)

Frage von ThePcSwagTogether zum Thema Debian ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
iOS
IPhone wird ferngesteuert Hacker? (21)

Frage von Akcent zum Thema iOS ...

Vmware
VMware ESX - Start einer VM verhindern (19)

Frage von emeriks zum Thema Vmware ...

Rechtliche Fragen
gelöst Geschäftsführer Email gefaked (18)

Frage von xbast1x zum Thema Rechtliche Fragen ...