SECURITY AWARENESS SCHOKOLADE FÜRS PASSWORT SÜSSES MIT BITTEREM NACHGESCHMACK

Transkript

1 SMART COMPLIANCE TRAINING SECURITY AWARENESS SCHOKOLADE FÜRS PASSWORT SÜSSES MIT BITTEREM NACHGESCHMACK E SEC ISS GMBH Kathrin Prantner, GF & Co Founder sec.at

2 AGENDA SECURITY AWARENESS was ist gemeint? SECURITY AWARENESS KAMPAGNE ein Leitfaden REFERENZBEISPIEL SECURITY AWARENESS KAMPAGNE ERFOLGSFAKTOREN SECURITY AWARENESS Tipps und Tricks FRAGEN, ANTWORTEN, DISKUSSION Seite sec.at

3 E SEC INFORMATION SECURITY SOLUTIONS GMBH Spin Off Universität Innsbruck Gegründet 2005 Hauptsitz in Innsbruck / Tirol / Österreich Security Awareness Software, Security Awareness Kampagnen FIRMENVORSTELLUNG Seite sec.at

4 DER VORTRAGSTITEL Schokolade fürs Passwort Süßes mit Bitterem Nachgeschmack Tatsachenbericht aus England: Personen gaben Passwort für eine Tafel Schokolade preis (71 % von 172 befragten Personen) Erkenntnis: Diese Personen kennen die Konsequenz ihres Handelns nicht. Gefahr: AusSicht dermitarbeiter kanndies eine positive Message sein! Security Awareness muss aus Sicht der Mitarbeiter getrieben werden! Seite sec.at

5 SECURITY AWARENESS AM ARBEITSPLATZ 8:00 UHR: Brigitte sucht nachihrer Keycard und betritt das Unternehmen. Wer ist noch mit Brigitte ins Gebäude gegangen? Kennt Brigitte die Richtlinien zu den Zutrittssystemen? Weiß Brigitte wie Sie sich bei Diebstahl oder Verlust der Keycard verhalten soll? Weiß Brigitte wie die Weitergabe der Keycard geregelt ist? 8:12 UHR: Birgitte meldet sich am PC an und beginnt, ihre E Mails zu beantworten. Verwendet Brigitte das Passwort für mehrere Anwendungen? Etwa auchfür private Anwendungen? Hat Brigitte ein sicheres Passwort laut Passwort Policy gewählt? Wann haben Sie das Kennwort das letzte Mal gewechselt? 8:32 UHR: Brigitte nimmt sich einen Kundenakte und beginnt zu arbeiten Warum liegt die Kundenakte auf ihrem Schreibtisch? Kennt Brigitte die Clear Desk Policy? Wäre der Aktenschrank mit den Kundenakten verschlossen gewesen? Weiß Brigitte, dass der Inhalt dieser Akte als vertraulich zu behandeln ist? 9:27 UHR: Brigitte versendet ein Angebot per Fax mittels der Kurzwahltaste. Findet Brigitte etwas noch das Originaldokument, das Sie gestern gefaxt hat? Hat Brigitte in der Eile die richtige Taste erwischt?

6 SECURITY AWARENESS AM ARBEITSPLATZ 11:27 UHR: Brigitte macht sich auf den Weg in den Besprechungsraum, wo in 3 Minuten ein Meeting mit dem Chef stattfindet. 11:28 UHR: Ihr Kollege Hubert kommt in ihr Büro, sieht dass Brigitte wahrscheinlich bereits im Besprechungsraum ist und folgt ihr um noch schnell ein Feedback von ihr einzuholen. Warum weiß Hubert das Brigitte eine Besprechung hat? War der Bildschirm etwa nicht gesperrt? Kann Hubert im Besprechungsraum vertrauliche Daten erspähen, die nicht für ihn gedachtsind? Kennt Brigitte die Präsentationsrichtlinie und entfernt alle vertraulichen Informationen nach der Besprechung? 13:05 UHR: Bei der Rückkehr vom Mittagessen wartet schon ein Kunde auf Brigitte in ihrem Büro. Warum sitzt der Kunde schon allein in ihrem Büro? Wer hat ihn hereingelassen? Trägt der Kunde einen Besucherausweis? 16:55 UHR: Feierabend! Den Schlüssel legt Brigitte wie jeden Tag in die Schublade. Wo verstecken Sie ihre Schlüssel? 17:00 UHR: Brigitte verlässt das Unternehmen durch den Nebeneingang und lässt den freundlichen Handwerker herein, der vor der Tür wartet. Hat der Handwerker einen Auftrag, im Unternehmen zu arbeiten? Wen hat Brigitte in der Vergangenheit bereits bei der Hintertür hereingelassen? Wieviele Personen hat Brigitte in der Vergangenheit bereits bei der Hintertür hereingelassen?

7 GEFAHRENSTELLEN lauern überall!! Seite sec.at

8 WAS IST SECURITY AWARENESS? Security Awareness im beruflichen Arbeitsalltag = Daten und Informationen jeglicher Art zu schützen! Daten und Informationen jeglicher Art: Am PC, Arbeitsplatz Auf mobilen Datenträgern Dokumente in Schriftform Mündliche Informationen Know How Seite sec.at

9 FAKTEN SECURITY AWARENESS Security Awareness = Sensibilisierung der Mitarbeiter bezüglich dem Umgang mit Daten und Informationen Risikofaktor Mensch: Mehr als 80% der Sicherheitsvorfälle resultieren aus dem Fehlverhalten der Mitarbeiter Grund: Mitarbeiter sind meist unwissentlich die häufigste Schwachstelle Betroffen sind: alle Unternehmen, in welchen Daten und Informationen ver bzw. bearbeitet werden FAKTEN & HINTERGRUND Seite sec.at

10 IT SICHERHEITSSTRATEGIE Wo ist Security Awareness angesiedelt: Bislang: Freiwillige Maßnahme Zukunft: in der IT Sicherheitsstrategie IT Sicherheit Seite sec.at

11 SECURITY AWARENESS KAMPAGNE Kampagnen können unterschiedlich aufgebaut sein. Vor Planung einer Kampagne sollten die Art sowie das zu erreichende Ziel festgelegt sein. Es ist sinnvoll die Kampagne auf die aktuellen Gegebenheiten des Unternehmens anzupassen bzw. auf die Mitarbeiter, die Unternehmensphilosophie und das Unternehmensklima einzugehen. Security Awareness allgemein Gezielte Themenvermittlung, Problembekämpfung b Lustiger Aufbau Ernster, reeller Aufbau Langfristige und begleitende Kampagne Punktuelle Kampagnen, Produktbegleitend Seite sec.at

12 4 PHASEN EINER SECURITY AWARENESS KAMPAGNE 4 PHASEN KAMPAGNE 1. Kommunikation 2. Wissensvermittlung 3. Dokumentierte Nachhaltigkeit 4. Öffentlichkeitsarbeit Seite sec.at

13 PHASE 1: KOMMUNIKATION Seite sec.at

14 PHASE 1: KOMMUNIKATION In der ersten Phase muss der Sinn der Informationssicherheit an die Mitarbeiter kommuniziert werden. Bei Bestehen von Sicherheitsrichtlinien sollte auf diese aufmerksam gemacht werden. Beispiele für erfolgreiche Kommunikation des Themas in Phase 1: Flyer, Give aways Aussendungen, Intranet Vorstandsschreiben Posterkampagne (Comics, Botschaften, etc.) WICHTIG: Einbinden des Betriebsrats bzw. von Personalvertretern schon in der Phase 1. Seite sec.at

15 PHASE 1: KOMMUNIKATION Beispiele Mit einzelnen Maßnahmen und der Art der Aufbereitung kann man unterschiedliche Ziele verfolgen: Interesse wecken, Wissen vermitteln, themenspezifische Problembehandlung, allgemeine Sensibilisierung, etc. Poster Screensaver Broschüren Comic Seite sec.at

16 PHASE 2: WISSENSVERMITTLUNG Seite sec.at

17 PHASE 2: WISSENSVERMITTLUNG In der zweiten Phase wird den Mitarbeitern Wissen und Verhaltensweisen zur Informationssicherheit vermittelt. Die Mitarbeiter sollen im Laufe dieser Phase ihre Einstellung zur urinformationssicherheit positiv verändern undihr individuelles Verhalten ändern. Ziele: Nachhaltige Wissensvermittlung Bewusstseinsbildung Positives Image der Informationssicherheit Dokumentation der Schulungen aus rechtlichen Gründen Seite sec.at

18 PHASE 2: WISSENSVERMITTLUNG Für den Erfolg der Wissensvermittlung ausschlaggebend ist die gewählte Methode. Folgende Grafik zeigt die deutlichen Unterschiede: Seite sec.at

19 WICHTIGE FAKTOREN DER WISSENSVERMITTUNG Für eine effiziente i und erfolgreiche Wissensvermittlung ittl müssen folgende Faktoren Fkt berücksichtigt werden: Unternehmensbezogen: Analyse der Zielgruppen (z.b. Mitarbeiterrollen) Unternehmenskultur, Unternehmensklima Bestehende Sicherheitsrichtlinien Mitarbeiterbezogen: Lerntypen Lerngeschwindigkeit Wissensstand Generationen Standorte interkulturelle Unterschiede Seite sec.at

20 PHASE 2: WISSENSVERMITTLUNG Beispiele Schulungsveranstaltungen, persönliche Trainings Für alle Mitarbeiter, Schlüsselpersonal, Abteilungen, Standorte, etc. Interner oder externer Referent/Trainer Mitarbeitergespräche. Ausgabe von Schulungsmaterialien Sicherheitsrichtlinien Handbücher, Lehrbücher Videos, Lernpräsentation.. Digitale Lösung WBT, Schulungssoftware Intranet Trainingssoftware.. Seite sec.at

21 PHASE 3: NACHHALTIGKEIT GENERIEREN Seite sec.at

22 PHASE 3: NACHHALTIGKEIT GENERIEREN Im Rahmen der dritten Phase wird eine dauerhafte Veränderung der Einstellung und Verhaltensweisen der Mitarbeiter angestrebt. Ziele: Kontinuierliche Auseinandersetzung mit dem Thema Dokumentierter Fortschritt des Sicherheitsbewusstseinslevels Nachweisbarkeit des Erfolgs der Maßnahmen Seite sec.at

23 PHASE 3: NACHHALTIGKEIT GENERIEREN Beispiele Ziel: Laufenden Prozess Security Awareness generieren Gewährleistung der Sicherheit im Betrieb Security Awareness Messung (kontinuierlich) Schulungsnachweis (Gesetze, Standards, Zertifizierung, etc.) Zertifikatsausstellung für die erfolgreiche Security Awareness Schulung Motivation der Mitarbeiter halten Weitere Maßnahmen parallel betreiben: Posterkampagne fortsetzen Schwerpunktsetzung in der Security Awareness Software Belohnungssystem, Gewinnspiel Regelmäßige Newsletter Seite sec.at

24 PHASE 4: ÖFFENTLICHKEITSARBEIT Seite sec.at

25 In Phase 4 werden die Erfolge der Awarenesskampagne der Öffentlichkeit, Kunden und Partnern vermittelt. Ziele: Vermitteln eines positiven Vertrauensimages an die Kunden/Partner/Öffentlichkeit / Beispiele: Pressemitteilung il Kundenmitteilung Kundenzeitschrift Seite sec.at

26 REFERENZBEISPIEL SECURITY AWARENESS KAMPAGNE 1. SENSIBILISIERUNG mittels Kampagne Poster und virtuelles Comicbook im Intranet: Bekanntmachung Sicherheitsrichtlinie und vermitteln der wichtigsten Punkte daraus 2. WISSENSVERMITTLUNG mittels WBT Einsatz der rollenbasierten und auf die Sicherheitsrichtlinien abgestimmten Software (WBT Training) Kommunikation der Software und Aufforderung zum Training Jeder Mitarbeiter erhält ein Zertifikat 3. NACHHALTIGKEIT UND MESSUNG Automatische Messung der Security Awareness mit Hilfe WBT Training Fortsetzung der Comic Kampagne und Einsatz neuer Medien (Screensaver, physisches Comicbook mit den wichtigsten Regeln, ) 4. ÖFFENTLICHKEITSARBEIT Offensive Kommunikation an Endkunden, Partnerfirmen, Konkurrenten Internes Marketing SECURITY AWARENESS FAKTOR Seite sec.at

27 ERFOLGSFAKTOREN EINER SECURITY AWARENESS KAMPAGNE AUSZUG AUS DEM LEITFADEN: ERFOLGREICHE SECURITY AWARENESS KAMPAGNE 1. Ziele definieren 2. Eigene Kompetenzen erörtern 3. Unternehmensspezifika analysieren Zielgruppe Standorte örtliche und interkulturelle Unterschiede aktuelle Awareness, aktueller Wissenstand bereits umgesetzte Maßnahmen bestehende Richtlinien definierte Verantwortlichkeiten etc. 4. Sicherheitskultur/Unternehmenskultur berücksichtigen (z.b. Arbeite ich mit Druck oder Motivation) 5. Unterstützung anderer Abteilungen (z.b. Marketing, HR) 6. Budget erörtern 7. Datenschutzanforderungen berücksichtigen 8. Nachhaltigkeit garantieren 9. Reaktionsmöglichkeiten gewährleisten 10. Messung/Überprüfung g 11. Motivation für die Mitarbeiter schaffen 12.. Seite sec.at

28 FAZIT Wenn wundert es, dass Mitarbeiter ihr Passwort für eine Tafel Schokolade preisgeben, wenn Sie nicht über die Konsequenzen informiert sind? Seite sec.at

29 KONTAKTDATEN E SEC Information Security Solutions GmbH A 6020 Innsbruck Competence Center Innsbruck Grabenweg 3 Kathrin Prantner Tel.: E Mail: sales@e sec.at Seite sec.at