Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sammlung von Best Practices in Security-Awareness

Frage Sicherheit

Mitglied: krella

krella (Level 1) - Jetzt verbinden

23.07.2010 um 13:38 Uhr, 5903 Aufrufe

Hallo Leute,

zu einem ganzheitlichen IT-Sicherheitskonzept bzw. Informations Sicherheits Management System gehört unweigerlich auch die Durchführung einer Security-Awareness-Kampagne, d.h. Sensibilisierung und Schulung der Belegschaft hinsichtlich dieses Themas.

Momentan arbeite ich an einem entsprechenden Schulungskonzept, welches auf den vier Phasen Aufmerksamkeit, Wissen vermitteln und Einstellungen verändern, Verstärkung der Wirkung und Öffentlichkeitsarbeit basiert.

In jeder Phase habe ich bestimmte Methoden vorgesehen, welche ich Euch gerne konzeptionell vorstellen möchte:


Phase 1: Aufmerksamkeit

Ziel dieser Phase ist es, die Mitarbeiter auf das Thema Informationssicherheit aufmerksam zu machen, sie über die Durchführung der Security-Awareness-Kampagne zu informieren und sie zur aktiven Teilnahme an den einzelnen Maßnahmen der Kampagne zu motivieren.

Methoden

1. Entwicklung eines Kampagnen-Logos und eines Slogans, welches die Kampagne von Anfang an begleitet, um einen hohen Wiedererkennungswert herzustellen
2. Planung und Durchführung einer Informationsveranstaltung (Notwendigkeit, Ziele, Gestaltung und Ausrichtung der Kampagne zum Thema Informationssicherheit) für Führungskräfte und Personalvertretungen. Bei dieser Gelegenheit werden die Teilnehmer dazu motiviert, bei der Gestaltung der Kampagne aktiv teilzunehmen, Vorbildfunktion zu sein, ihre Mitarbeiter zur aktiven Unterstützung der Kampagne aufzurufen und die Einhaltung der Informationssicherheits-Regularien einzuhalten.
3. Erstellung und Versand einer Vorstandsinformation zum Thema Informationssicherheit an an alle Mitarbeiter
4. Optional: Zur Erfolgsmessung der Security-Awareness-Kampagne kann in dieser Phase ein Umfrage an die Mitarbeiter über den aktuellen Stand zu Wissen und Einstellung zum Thema Informationssicherheit stattfinden. Dieser Stand könnte dann mit späteren Umfrageergebnissen verglichen werden.


Phase 2: Wissen vermitteln und Einstellungen verändern

In dieser Phase wird das Hintergrundwissen für das Verständnis von durchzuführenden Sicherheitsmaßnahmen vermittelt und soll die Einstellung und damit auch das individuelle Verhalten der MitarbeiterInnen im Umgang mit Informationen verbessern.

Diese Phase ist der wichtigste und zugleich aufwendigste Teil der Kampagne.

Hierbei es ist enorm wichtig, die Vermittlung des an sich trockenen Themas Informationssicherheit besonders lebhaft, abwechslungsreich und interessant zu gestalten.

Besonders die private Informationssicherheit der MitarbeiterInnen sollte hier als Element der Schulungen Berücksichtigung finden,.um den Bezug zum Thema relativ einfach herstellen zu können.

Methoden

1. Konzeption und Durchführung von Präsenzschulungen, in denen das Thema Informationssicherheit und die Inhalte der Dienstvereinbarungen vermittelt werden. Die Organisation der Schulungen wird von dem Team Personalentwicklung durchgeführt.
2. Auf den Intranetseiten werden Informationen zum Thema Informationssicherheit veröffentlicht. Dies können z. B. aktuelle Meldungen zur Bedrohungslage und Tips im Umgang mit Informationen sein.
3. Es soll ein individualisiertes Web Based Training bei der Vermittlung von Wissen unterstützen.

Schulungsveranstaltungen, Informationen und Newsletter werden inhaltlich mit eindrücklichen Beispielen zum Thema gefüllt, um die Einstellung und das Verhalten der Mitarbeiter in Bezug auf Informationssicherheit zu verbessern.

Schulungen und WBTs sind auf unterschiedliche Zielgruppen (Management, Adminstratoren, Sachbearbeiter) auszurichten.

Phase 3: Verstärkung der Wirkung

In dieser Phase wird eine dauerhafte Veränderung der Einstellung und des Verhaltens der MitarbeiterInnen angestrebt. Bestimmte Maßnahmen, sollen die Thematik im Bewusstsein verankern und die in Phase 2 erreichte Sensibilisierung wach halten.

Hierbei ist ein Maßnahmenmix zu empfehlen, da der Mensch auf unterschiedliche gestaltete Informationen unterschiedlich reagiert.

Methoden

1. Regelmäßige Versendung eines Newsletters.
2. Schaltung von Artikeln in der Mitarbeiterzeitschrift
3. Auf den Intranetseiten werden nun auch regelmäßig Informationen zum Thema Informationssicherheit veröffentlicht. Dies können z. B. aktuelle Meldungen zur Bedrohungslage und Tips im Umgang mit Informationen sein.
4. Erstellung und Verteilen von Plakaten / Aufklebern / Broschüren / Mauspads etc.
5. Implementierung eines Gewinnspieles
6. Küren eines Informationssicherheits-Mitarbeiter des Monats


Phase 4: Öffentlichkeitsarbeit

In dieser optionalen Phase kommuniziert die Firma die Durchführung der Kampagne an Versicherte und Vertragspartner, ggf. auch an die breite Öffentlichkeit, um ein positives Vertrauensimage zu vermitteln und den Unternehmenswert zu steigern.

Allerdings ist ein gewisses Risiko bei der Kommunikation an die breite Öffentlichkeit vorhanden, insofern z.B. Hacker dadurch erst auf die Firma aufmerksam gemacht werden, welche dann erst recht versuchen könnten die Informationssicherheit bei der Firma einmal auszutesten.

Methoden

Mögliche Methoden zur Kommunikation wären z.B. Artikel in der Kundenzeitschrift, in Fachzeitschriften oder auch Kundenmailings sowie Mitteilungen an externe Dienstleister.



Habt Ihr vielleicht darüber hinaus noch Ideen, die ich in so einer Kampagne verwenden könnte?
Ähnliche Inhalte
Outlook & Mail
Best practice: Speicherort Outlookdateien
gelöst Frage von AndroxinOutlook & Mail15 Kommentare

Moin, moin. Wir nutzen hier serverseitig gespeicherte Profile und Exchange 2010 + Outlook 2010/2007. Aufgrund der relativ großen Postfächer ...

Debian
Best Practice CheckMK Hosting
Frage von ThePcSwagTogetherDebian8 Kommentare

Schönen guten Tag allesamt, ich habe in der Vergangenheit einen Thread eröffnet, der auch schon dem jetzigen Projekt zugeordnet ...

Windows Server
Netzlaufwerkstruktur Best Practice
Frage von geocastWindows Server7 Kommentare

Einen Guten Zusammen Ich bin gerade dabei ein neues Netzwerk aufzubauen mit AD etc. Gerade versuche ich eine Struktur ...

Windows Update
WSUS best practice?
Frage von leon123Windows Update9 Kommentare

Hallo zusammen, wir haben einen WSUS um ca. 150 Rechner auf dem neusten Stand zu halten. Ich komm aber ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 StundeBatch & Shell1 Kommentar

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 3 StundenHumor (lol)5 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 19 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 19 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...