Information Security Awareness

Größe: px

Ab Seite anzeigen:

Download "Information Security Awareness"

Erika Brinkerhoff
vor 8 Jahren
Abrufe

1 Information Security Awareness Stärkung des Sicherheitsbewusstseins in deutschen Unternehmen Eva Jost 07. Mai 2009, Iserlohn

2 Agenda Definition Information Security Awareness Interne und externe Unternehmensbedrohungen Treiber einer ganzheitlichen Informationssicherheit ISA Programmentwicklung - Planung, Beurteilung, Ausgestaltung - Umsetzung - Erfolgsmessung und Programmüberprüfung - Anpassung Fazit 2/ 15

Informationssicherheit ISA Programmentwicklung - Planung, Beurteilung,

3 Definition - ISA Information Security Awareness: Verständnis und Bewusstsein für Informationssicherheit Verinnerlichung sicherheitsrelevanter Maßnahmen Angriffsresistenz Wahrnehmung von Sicherheitslücken Risikominimierung ISA Ziele: Motivation, Identifikation, Nachhaltigkeit, Sicherheitsbewusstsein 3/ 15

Angriffsresistenz Wahrnehmung von Sicherheitslücken Risikominimierung ISA

4 Interne und externe Unternehmensbedrohungen Interne Bedrohungen: durch Mitarbeiter Unbewusste/ unbeabsichtigtes Fehlverhalten Bewusstes/ mutwilliges Fehlverhalten Externe Bedrohungen: durch Außentäter Social Engineering Hacking Malware Phishing Wirtschaftsspionage 4/ 15

Bewusstes/ mutwilliges Fehlverhalten Externe Bedrohungen: durch

5 Treiber einer ganzheitlichen Informationssicherheit Professionalisierung der Wirtschaftskriminalität Gesetzliche und vertragliche Anforderungen Risikofrüherkennung und Unternehmensfortführung Ordnungsmäßigkeit DV-gestützter Buchführung Informations- und Datenschutz Vertragliche Bindung Sicherheitsstandards ISO IT-Grundschutz des BSI Image Schädigung 5/ 15

Unternehmensfortführung Ordnungsmäßigkeit DV-gestützter Buchführung Informations- und

6 ISA Programmentwicklung 1/4 Planung, Beurteilung, Ausgestaltung (1/3) Aufstellung eines qualifizierten Projektteams Risikoanalyse & Zielsetzung des Projekts Definition der Zielgruppe Ermittlung der Ressourcenanforderungen Management Unterstützung einholen 6/ 15

& Zielsetzung des Projekts Definition der Zielgruppe Ermittlung

7 ISA Programmentwicklung 1/4 Planung, Beurteilung, Ausgestaltung (2/3) Kommunikationskonzept zur Maßnahmenetablierung Verhaltensstufen Wahrnehmungsempfinden Strategie je Zielgruppe Maßnahmen-Kanäle Maßnahmen-Inhalte Zusätzliche Motivation 7/ 15

Maßnahmenetablierung Verhaltensstufen Wahrnehmungsempfinden

8 Kurve der Verhaltensänderung Kommunikationsfortschritt Engagement erzielt Verinnerlichung Umsetzung Akzeptanz erzielt Akzeptanz Einstellungsänderung Maßnahmen-Start Information Bewusstsein Verständnis Zeit 8/ 15

9 ISA Kanäle und Maßnahmen Kommunikation von Angesicht zu Angesicht: Schulung, Interaktives Training, Informationsveranstaltungen, Ausstellungen, Messen, Einzelne Gespräche, Konferenzen / Fachvorträge Online /Intranet /elektronische Medien: Homepage, Intranet-Seite, Web-basiertes Training, Video-Vorführungen, , Newsletter, Quiz-Spiele, Umfragen, Radio, Bildschirmschoner Gedruckte Medien: Schulungsmaterial, Sicherheitsrichtlinien, Poster, Artikel in Unternehmens- Zeitschriften, PR-Artikel in externen Medien, Broschüren / Handzettel Unterstützende Maßnahmen: Geschenkartikel, Gewinnspiele, fiktive Sicherheitsbedrohungen 9/ 15

10 ISA Programmentwicklung 1/4 Planung, Beurteilung, Ausgestaltung (3/3) Indikatoren zur Erfolgsmessung Angaben über den Erfolg der ISA-Maßnahmen und über das Sicherheitsverhalten der MA Betrachtung qualitativer und quantitativer Aspekte 3 mögliche Ansätze: Prozessverbesserung Personenbezogene Angriffsresistenz Auswirkungen durch Sicherheitslücken 10 / 15

Sicherheitsverhalten der MA Betrachtung qualitativer und quantitativer Aspekte 3

11 ISA Programmentwicklung 2/4 Umsetzung Einbindung der Ressourcen und Management-Unterstützung Modularer Aufbau: Vermittlung Basiswissen (Bedrohungen, Schäden) Detaillierte Informationen (Schutzmaßnahmen, Eigenverantwortlichkeiten der MA) Aktive Einbindung der MA Maßnahmeneinsatz, Kanalnutzung 11 / 15

(Bedrohungen, Schäden) Detaillierte Informationen (Schutzmaßnahmen,

12 ISA Programmentwicklung 3/4 Erfolgsmessung und Programmüberprüfung Praktische Überprüfung der Maßnahmen Security Awareness Monitoring (SAM) Auswertung festgelegter Metriken, qualitativer und quantitativer Analysen Bewertung des Gesamtzustands 12 / 15

Security Awareness Monitoring (SAM) Auswertung festgelegter

13 ISA Programmentwicklung 4/4 Anpassung Auf Basis der Erfolgsmessung und Erfahrungsberichte Implementierung präventiver Schutzmaßnahmen 3-stufige Verbesserung: Adaption der Problemlösungsstrategie Veränderung der Kultur Lernen zu Lernen Optimum: Verinnerlichung + Akzeptanz 13 / 15

3-stufige Verbesserung: Adaption der Problemlösungsstrategie

14 Fazit wachsende, ernstzunehmende Bedrohungslage Zunehmende Wirtschaftskriminalität Gesetzliche Anforderungen Umfassende + ganzheitliche Sicherheitsstrategie menschliches Bewusstsein fokussieren Sensibilisierung der Mitarbeiter 14 / 15

Umfassende + ganzheitliche Sicherheitsstrategie

15 Fragen??? Kontakt Eva Jost KPMG AG Tel.: +49 (0) / 15

Ähnliche Dokumente

Security Awareness ja, aber wie?

Security Awareness ja, aber wie? 9. Security Forum Fachhochschule Brandenburg Peter Mnich 22.01.2015 VICCON GmbH Topics Security Awareness Falls Sie glauben, dass Technologie Ihre Sicherheitsprobleme lösen