Ergebnisse der 2. Studie: Security Awareness in der betrieblichen Praxis 17.11.2011 Blindtext Zeile Blindtext Zeile 1
Ziel der Studie Blindtext Zeile Blindtext Zeile 2
Studienziel Wie wird Security Awareness geplant und umgesetzt? was waren die kritischen Erfolgsfaktoren? welche Erfahrungen wurden gesammelt? Blindtext Zeile Blindtext Zeile 3
Methodisches Vorgehen Blindtext Zeile Blindtext Zeile 4
Methodisches Vorgehen (1/5) Selbständige Beantwortung des Fragebogens durch TLN Stichprobe: 22 Unternehmen aus 16 6 Blindtext Zeile Blindtext Zeile 5
Methodisches Vorgehen (2/5) 2009 2011 Blindtext Zeile Blindtext Zeile 6
Methodisches Vorgehen (3/5) 2009 2011 Blindtext Zeile Blindtext Zeile 7
Methodisches Vorgehen (4/5) 2009 2011 Blindtext Zeile Blindtext Zeile 8
Methodisches Vorgehen (5/5) 2009 2011 Blindtext Zeile Blindtext Zeile 9
Studienergebnisse im Einzelnen Blindtext Zeile Blindtext Zeile 10
Anlass für das Awareness-Vorhaben 2009 2011 Blindtext Zeile Blindtext Zeile
Wer hat das Awareness-Vorhaben veranlasst? 2009 2011 Blindtext Zeile Blindtext Zeile 12
Welche Organisationseinheit war für die Umsetzung verantwortlich? 2009 2011 Blindtext Zeile Blindtext Zeile 13
Welche Abteilungen bzw. Partner wurden in das Vorhaben mit einbezogen? 2009 2011 Blindtext Zeile Blindtext Zeile 14
Wie beurteilen Sie die Unterstützung durch das Management? Durchschnitt = 0,71 Blindtext Zeile Blindtext Zeile 15
Wie haben Sie Ihr Awareness-Vorhaben umgesetzt? 2009 2011 Blindtext Zeile Blindtext Zeile 16
Welche unternehmenskulturellen Besonderheiten wurden in Ihr Awareness-Vorhaben einbezogen? Bei über 50% der Unternehmen explizit nicht einbezogen Bei den Unternehmen, die die Unternehmenskultur einbezogen haben, bleiben die Antworten weitgehend diffus Nur zwei Studienteilnehmer nennen Bezug zu Teilaspakten der Unternehmenskultur Orientierung an CI Verwendung einer (Kampagnen-)Leitfigur lokale Besonderheiten berücksichtigt Blindtext Zeile Blindtext Zeile 17
Was waren die größten Herausforderungen? sehr vielfältige Antworten, daher keine eindeutigen Favoriten Kultur: Umgang mit Unternehmenskultur. Comittment: Unternehmensleitung von der Notwendigkeit zu überzeugen. Unternehmensgröße: zu klein bzw. zu groß Ressourcen: Ressourcen stehen nur anlassbezogen zur Verfügung - d.h. ich mache es wann immer mal Zeit ist. ISO 27001: Das Herunterbrechen der Anforderungen aus der ISO 27001 auf die Belange der Abteilungen und der einzelnen Arbeitsplätze. Blindtext Zeile Blindtext Zeile 18
Welche Maßnahmen und Medien wurden eingesetzt? (1/4) 2009 2011 Blindtext Zeile Blindtext Zeile 19
Welche Maßnahmen und Medien wurden eingesetzt? (2/4) 2009 2011 Blindtext Zeile Blindtext Zeile 20
Welche Maßnahmen und Medien wurden eingesetzt? (3/4) 2009 2011 Blindtext Zeile Blindtext Zeile 21
Welche Maßnahmen und Medien wurden eingesetzt? (4/4) 2009 2011 Blindtext Zeile Blindtext Zeile 22
Welche Zielgruppen waren Ihnen besonders wichtig? 2009 2011 Blindtext Zeile Blindtext Zeile 23
Welche Ziele sollten mit Ihrem Awareness-Vorhaben erreicht werden? Sensibilisierung Verständnis erhöhen Verhaltensänderung Blindtext Zeile Blindtext Zeile 24
Wie haben Sie den Erfolg Ihres Awareness-Vorhabens gemessen? falls Messung, dann per... Blindtext Zeile Blindtext Zeile 25
Wie hoch beziffern Sie die Kosten (ohne Ausfallzeiten)? Kosten variieren von 3-300, Ø 68, Median 12 1-500, Ø 66, Median 13 2011 2009 Blindtext Zeile Blindtext Zeile 26
Ausblick - mit welchen Aktivitäten wird ihr Awareness- Vorhaben zukünftig weiter geführt? Sehr divers mit leichten Schwerpunkten im Bereich...... e-medien (Newsletter, Intranet)... kurze & knappe Präsenzveranstaltungen Alle Studienteilnehmer setzen auf Kontinuität der Maßnahmen Quelle: www.pixelio.de Blindtext Zeile Blindtext Zeile 27
Benennen Sie die fünf wichtigsten Erfolgsfaktoren für Security Awareness! weiterhin recht diverse Antworten Top drei: einfach und verständlich Managementsupport Kontinuität (Wiederholung und Vertiefung) Der Mensch macht s! Blindtext Zeile Blindtext Zeile 28
Exkurs: Unternehmenkultur im Kontext von Awareness- Aktivitäten Blindtext Zeile Blindtext Zeile 29
Sicherheit leben erfordert das Zusammenspiel von WISSEN Kognition Ich habe das Problem erkannt, verstanden und weiß, was zu tun ist! KÖNNEN Organisation In meinem organisatorischen Umfeld ist sicherheitskonformes Handeln grundsätzlich möglich WOLLEN Motivation Ich will sicherheitskonform Handeln! Blindtext Zeile Blindtext Zeile 30
Was ist Unternehmenskultur? Welche Wirkung hat Unternehmenskultur? Wie kann ich Unternehmenskultur erfassen? Blindtext Zeile Blindtext Zeile 31
Unternehmenskultur... ist ein kollektives Phänomen... erzeugt ein gewisses Maß an Einheitlichkeit, den Unternehmenscharakter ist eine im Wesentlichen unsichtbare Einflussgröße. repräsentiert eine Organisation konzeptionell Quelle: Schreyögg, G., Koch, J.: Grundlagen des Managements, S. 333 ff Blindtext Zeile Blindtext Zeile 32
Unternehmenskultur... geht über Kognitionen hinaus. bestimmt erwünschte sowie unerwünschte Handlungsweisen. liegt ein stiller Lernprozess zugrunde.... ist ein dynamisches, nie endendes Phänomen. Quelle: Schreyögg, G., Koch, J.: Grundlagen des Managements, S. 333 ff Blindtext Zeile Blindtext Zeile 33
Die drei Ebenen der Unternehmenskultur Drei Ebenen der Organisationskultur nach Schein Blindtext Zeile Blindtext Zeile 34 Quelle: Schein E.H.: Organizational Culture and Leadership, S.237
Unternehmenskultur und Corporate Identity Blindtext Zeile Blindtext Zeile 35
Unternehmenskultur und Sicherheitskultur Ein gut ausgebautes Kontrollumfeld ist wichtig aber nicht ausreichend. Eine Unternehmens- und Wertekultur, die auf ethischen und integritätsfördernden Werten und Prinzipien aufbaut, schützt das Unternehmen von innen heraus. Loyalität der Mitarbeiter zum Unternehmen wie auch vice versa unterstützt die informelle Sozialkontrolle im Unternehmen. Unternehmenskultur und -klima entfalten ihre positive, unterstützende Wirkung gerade in schwierigen Situationen. Blindtext Zeile Blindtext Zeile 36 Quelle: PriceWaterhouseCoopers, Wirtschaftskriminalität 2007, S.47 f
Unternehmenskultur und Sicherheitskultur Ein gut ausgebautes Kontrollumfeld ist wichtig aber nicht ausreichend. Eine Unternehmens- und Wertekultur, die auf ethischen und integritätsfördernden Werten und Prinzipien aufbaut, schützt das Unternehmen von innen heraus. Loyalität der Mitarbeiter zum Unternehmen wie auch vice versa unterstützt die informelle Sozialkontrolle im Unternehmen. Unternehmenskultur und -klima entfalten ihre positive, unterstützende Wirkung gerade in schwierigen Situationen. Blindtext Zeile Blindtext Zeile 37 Quelle: PriceWaterhouseCoopers, Wirtschaftskriminalität 2007, S.47 f
Unternehmenskultur greifbar gemacht (Beispiele) Befragung (persönlich, telefonisch, schriftlich, etc.) qualitativ (z.b: via tiefenpsychologsicher Interviews) vs. quanitativ unsystematisch vs. systematisch Beobachtung: (z.b. durch externe oder neue Mitarbeiter) Walk-around Quelle: www.pixelio.de Analyse Inhalte Internet, Unternehmensbroschüren, Geschäftsbericht, Mitarbeiterbefragung Unternehmensleitinien insb. Führungsleitlinien unternehmensindividuelle Kommunikationswege und -inhalte Blindtext Zeile Blindtext Zeile 38
Vielen Dank für Ihre Aufmerksamkeit Michael Helisch HECOM Security Awareness Consulting Jella-Lepman-Str. 14, D-81673 München, +49 (0)172 272 4 272 helisch@hecom-consulting.de www.hecom-consulting.de Blindtext Zeile Blindtext Zeile 39 2011, M. Helisch, HECOM Security Awareness Consulting. Alle Rechte vorbehalten. Veröffentlichung oder Kopie nur mit schriftlicher Zustimmung des Autors.