Risikofaktor Mensch schärfen Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter. Michael Hirschmann Senior Presales Engineer

Transkript

1 Risikofaktor Mensch schärfen Sie das Sicherheitsbewusstsein Ihrer Mitarbeiter Michael Hirschmann Senior Presales Engineer

2 BEDROHUNGSLAGE Unternehmen sind tagtäglich einer Vielzahl unterschiedlicher Bedrohungen ausgesetzt Unternehmen investieren viel Geld in die Absicherung ihrer IT-Sicherheitsinfrastruktur Aber herkömmliche Sicherheitslösungen reichen nicht aus neue Sicherheits-Mechanismen und -Technologien werden benötigt Steigende Komplexität z.b. Vermischung von Privat- und Arbeits-Welt (BYOD) oder weitere Vernetzung der Systeme (z.b. IoT, Industrie 4.0, autonomes Fahren ) heutige Bedrohungen werden komplexer Cyber-Kriminelle werden immer professioneller, kompetenter & vernetzter Cybercrime-as-a-Service (z.b. DDoS, Exploit Kits) usw.

3 DAS PROBLEM ca. 80 % aller Cybersicherheits-Vorfälle entstehen durch... menschliches Fehlverhalten Ist der Mensch evtl. ein Risikofaktor in der Sicherheitskette?...

4 DAS PROBLEM Beispiele Unbewusster Schädigung und Fehlverhaltens Öffnen von dubiosen Anhängen oder schnelle Klicks auf URL Links (professionelle Phishing-Mails) USB-Sticks Passwörter Umgang mit sozialen Netzwerken usw. Social Engineering um z.b. vertrauliche Informationen zu erhalten Shoulder Surfing, Dumpster Diving, Tailgating Auslegen/Liegenlassen präparierter USB-Sticks Gezielte Kontaktaufnahme per (Spear-Phishing) am Telefon als Mitarbeiter der IT Abt. oder als Techniker oder Manager/Chef ausgeben

5 DAS PROBLEM Fakt: auch die zuverlässigste Security-SW schützt nicht vor der Schwachstelle Mensch Cyber-Kriminelle haben den Fokus auch auf ein neues, vermeintlich einfacheres Angriffsziel verändert den Mitarbeiter Cyber-Security Awareness / Sicherheitsbewusstsein ist ein "must have" Element der IT-Sicherheit

6 DAS PROBLEM Herausforderungen Wahrscheinlich investieren Sie schon Geld in die Security-Awareness, ABER Poster sind nicht genug Langweilige, frustrierende Trainings Keine Motivation, Irrglaube Mitarbeiter sehen IT-Sicherheit nicht als Partner - zu lang - zu technisch - langweilig, nicht für Manager - nur Bedrohungen und Don t, ohne DO s ) nur 22% glauben, dass sie von Cyber-Kriminellen attackiert werden können

7 KASPERSKY APPROACH Wissen Die meisten Awareness Programme adressieren nur Wissen Motivation Profit, Misserfolg, Nutzen, Gewohnheit Verhalten Verhalten ist das eigentliche Ziel der Awareness und eng mit Wissen und Motivation verbunden spielerisches Lernen, Angriffssimulationen und interaktive Schulungen Der Ansatz, den wir vorschlagen ist: - Umfassend, verständlich, einflussreich & messbar - auf 3 Ebenen Wissen, Verhalten, Motivation

8 PORTFOLIO AUFBAU für Senior Management /Geschäftsführung KIPS Kurzes Unternehmens- Planspiel für Line Manager /Fachgebietsleiter CyberSafety Games (CSA) Präsenzschulung mit Sicherheits- Experten für alle Mitarbeiter Online Training Platform Modulare, interaktive Schulung für Chief Information Security Officer Cybersafety Culture Assessment Auswertung des Assessments Aufbau der Schulungen von Kaspersky Lab zum Thema Sicherheitsbewusstsein

9 KIPS LIVE ÜBERBLICK KIPS = Kaspersky Interactive Protection Simulation Dauer: Zielgruppe: Anzahl: Setup: ca. 2 2,5 Std. Manager /IT-Security Abt. usw. ca Leute (ggf. auch mehr) Aufteilung der Gruppe in mehrere Teams, Mix von 3 5 Leuten/Team Szenarien: Grund: Verfügbar: Wasserwerk, Corporate, Financial und Government Separates Event oder z.b. Session in einer Konferenz/Seminar Deutsch, Englisch, Französisch usw. Spielformat fördert das Verständnis der Cybersicherheits-Maßnahmen; Wettbewerb und Teamwork

10 KIPS LIVE SZENARIEN Wasserwerk (Spielbrett) Schutz von industriellen Steuerungssystemen (ICS)

11 KIPS LIVE SZENARIEN Corporate (Spielbrett) Schutz des Unternehmens vor Ransomware, APT s und Sicherheitslücken

12 KIPS LIVE SZENARIEN Financial (Spielbrett) Schutz der Finanzinstitute vor High-Level APT s, wie z.b. Tyupkin, Carbanak

13 KIPS LIVE SZENARIEN Government (Spielbrett) Schutz der öffentlichen Web-Server vor Angriffen und Exploits Reputation Umsatz

14 KIPS LIVE AKTIONSKARTEN NUMMER

15 KIPS LIVE KONSOLE (TABLET) RUNDE ZAHLEN DER AKTIONSKARTEN VERBLEIBENDE ZEIT BIS ZUM ENDE DER RUNDE

16 KIPS ONLINE NEU (DEMNÄCHST) KIPS Online Global Championship erstes globales Game über 3 Zeitzonen (APAC, EMEA, Americas) am Teams gegeneinander KIPS Online für Remote-Teams ohne gedruckte Materialien hervorragend für öffentliche Aktivitäten & globale Teams bis zu 300 Teams gleichzeitig

17 KIPS ONLINE NEU (DEMNÄCHST) Game-Konsole jedes Team benötigt jeweils PC, Internet, Web-Browser (Chrome), 2 Fenster (WebEx + Game-Konsole) Beschreibung / Spielregeln in Englisch Unterstützte Game-Konsole Sprachen (am ): Englisch, Russisch, Deutsch, Spanisch

18 PORTFOLIO AUFBAU für Senior Management /Geschäftsführung KIPS Kurzes Unternehmens- Planspiel für Line Manager /Fachgebietsleiter für alle Mitarbeiter CyberSafety Games (CSA) Online Training Platform Präsenzschulung mit Sicherheits- Experten Modulare, interaktive Schulung für Chief Information Security Officer Cybersafety Culture Assessment Auswertung des Assessments Aufbau der Schulungen von Kaspersky Lab zum Thema Sicherheitsbewusstsein

19 CYBERSAFETY GAMES ÜBERBLICK CyberSafety Games Dauer: Zielgruppe: Anzahl: Setup: 1x 8 oder 2x 4 Std. demnächst auf 1x 4 Std. und 1x 2 Std. geplant Line Manager /Security Abt. usw Leute Aufteilung der Gruppe in mehrere Teams, Mix von 3 5 Leuten/Team Verfügbar: Englisch, demnächst in Deutsch Spielformat fördert sicherheitsbewusstes Verhalten in typischen Umgebungen (z.b. Großraum-Büro, Flughafen, Konferenzraum)

20 CYBERSAFETY GAMES Aufbau Spielbrett 12 markierten Zonen /Workplace potenzielle Cyber- Bedrohungen /Zone 10 Security Domains (z.b. AV/Apps, Web, , Passwort, Data Leak, Social Engineering usw.)

21 CYBERSAFETY GAMES Regeln Wetten im Casino-Stil auf möglichen Cyber- Bedrohungen auf Threats oder keine-bedrohung und Häufigkeit

22 CYBERSAFETY GAMES Regeln Vorschlag der Teams, wie das Risiko gemindert werden könnte Erklärung der Best-Practice (Trainer)

23 CYBERSAFETY GAMES Regeln Div. Übungen für verantwortliche, risktaking Entscheidungen (erst denken, dann handeln) Beurteilung der verschiedener Situationen aus Sicht der Arbeits- Effizienz und Sicherheit

24 PORTFOLIO AUFBAU für Senior Management /Geschäftsführung KIPS Kurzes Unternehmens- Planspiel für Line Manager /Fachgebietsleiter für alle Mitarbeiter CyberSafety Games (CSA) Online Training Platform Präsenzschulung mit Sicherheits- Experten Modulare, interaktive Schulung für Chief Information Security Officer (CISO) Cybersafety Culture Assessment Auswertung des Assessments Aufbau der Schulungen von Kaspersky Lab zum Thema Sicherheitsbewusstsein

25 ONLINE TRAINING PLATTFORM ÜBERBLICK Online Training Plattform SaaS/Cloud Plattform Online 21 interaktive Schulungsmodule für Mitarbeiter; ca. 15 Min./Module In 26 Sprachen integrierte Plattform für Schulung, Assessments, Simulierte Phishing-Angriffe und Reporting Schulungsmodule + Simulierte Phishing- Angriffe Skills Assessment Analyse und Reporting

26 ONLINE TRAINING PLATTFORM ÜBERBLICK Ziel (für alle Mitarbeiter): Stärkung guter Cybersicherheits-Gewohnheiten und Fertigkeiten Vermittlung von Kenntnissen bzgl. Anti-Phishing, sicherer Umgang mit Sozialen Netzwerken, Smartphones usw. Ziel (für z.b. CISO): Einschätzung der Security Skills im Unternehmen und wo ggf. Verbesserungen notwendig sind Effektiv, dauerhaft und messbar ggf. mehrere Zyklen im Laufe des Jahres

27 ONLINE TRAINING PLATTFORM ÜBERBLICK Diverse Konfigurations- & Lizenz-Optionen: Full Plattform, Anti-Phishing, Multi-topic oder Training Modules Set Skill Assessment & Simulierte Phishing-Attacke je nach Option ggf. SCORM & SSO Add-on

28 OTP ABGEDECKTE SICHERHEITSBEREICHE (LISTE DER INTERAKTIVEN MODULE) Web-Frontend für Benutzer & Administrator 21 interaktive Schulungsmodule in 26 Sprachen; ca. 15 Min./Module Grundlagen der Sicherheit Anti-Phishing Phil Anti-Phishing Phishing Phyllis - Sicherheit Sicherheit für mobile Geräte Sicherheit mobiler Apps Datenschutz und Datenzerstörung Grundlagen der Sicherheit Geschäftsleitung Social Engineering URL Schulung Sicheres Surfen im Internet Passwort- Sicherheit Physische Sicherheit PCI DSS Sicherheit in Sozialen Netzwerken Schutz gegen Ransomware USB Geräte- Sicherheit Sicherheit über das Büro hinaus PII Geschützte Gesundheitsdaten (PHI) Sicherheit auf Reisen

29 ONLINE TRAINING PLATTFORM Training Module (Benutzer) Jedes Trainings-Module beinhaltet - Unterricht / Lehrmaterial - Übungen & Tests - Learning-by-doing Kombination aus - Erklärungen - Tests, "Do-it-yourself - und Hinweise & Feedback für effektives Lernen

30 ONLINE TRAINING PLATTFORM Training Module (Benutzer) Jedes Trainingsmodule führt die Lernenden von den Grundlagen bis zum fortgeschrittenem Wissen

31 ONLINE TRAINING PLATTFORM WEBPAGE Demo-Webpage via Link ZUR DEMOVERSION 18 interaktive verkürzte engl. Module Engl. Templates für Simulierte Phishing Angriffe inkl. Beispiele für Teachable Moments

32 ONLINE TRAINING PLATTFORM Training Module (Admin) Zuweisung (Assignment) bestimmter Ausbildungsmodule für die jeweiligen Mitarbeiter Basierend auf Profile, Abteilung, Assessment Ergebnisse, Zeit aktuell 21 Ausbildungsmodule mit Start- und Fälligkeits-Datum

33 ONLINE TRAINING PLATTFORM Training Jackets (Admin) Am Anfang oder Ende der Trainings-Module können z.b. - Unternehmen spezifische Sicherheits-Richtlinien oder - Infos, Tel./Mail-Adresse vom IT Security Team etc. hinterlegt werden

34 ONLINE TRAINING PLATTFORM Teilnahme-Zertifikate Zertifikat für den Benutzer am Ende jedes Trainings- Moduls möglich

35 ONLINE TRAINING PLATTFORM CyberStrength Assessment (Admin) Bestimmung der Fähigkeiten und Ausbildungsbedarf des Benutzers verschiedene Sicherheitsdomänen vordefinierte/zufällige Assessments Eigene kundendefinierte Fragen Umfang frei wählbar Interaktive Fragen (Multiple Choice, Wahr/Falsch)

36 ONLINE TRAINING PLATTFORM CyberStrength Assessment (Benutzer) Beispiel Assessment Frage aus Sicht des Benutzers

37 ONLINE TRAINING PLATTFORM ThreatSim Simulierte Phishing Attacke (Admin) "Ready-to-go" und anpassbare Vorlagen von Phishing-Mails verschiedenen Schwierigkeitsstufen "Aha - bzw. Lern-Effekt, wenn diese Phishing-Mails angeklickt werden anschl. kann automatisch das betreffende Ausbildungsmodul zugewiesen werden

38 ONLINE TRAINING PLATTFORM ThreatSim Simulierte Phishing Attacke (Benutzer) Beispiel für Landing-Page Weitere Teachable Moments neben Landing- Page z.b. Comic-Strip

39 ONLINE TRAINING PLATTFORM Analyse und Berichte (Admin) Überblick und Verfolgung der Assessments und Kampagnen Übersicht der Security Skills in bestimmten Bereichen Bewertung von potenziellen Schwachstellen (areas of weakness) Daten und Analysen für die nächste Phase des Assessments/Schulung

40 KASPERSKY SECURITY AWARENESS Cyber-Security Awareness ist ein must have Element der IT-Sicherheit, damit der Mensch nicht zum Risikofaktor in der Sicherheitskette wird Kaspersky Security Awareness

41 Vielen Dank für Ihre Aufmerksamkeit! Sprechen Sie mit uns in Halle 6, Stand H 18