Security Awareness by Stefan Beißel
Autor:Stefan Beißel
Die sprache: deu
Format: epub
Herausgeber: Walter de Gruyter
veröffentlicht: 2019-04-15T00:00:00+00:00
3.4Awareness-Zyklus
Mitarbeiter durchlaufen in einem Unternehmen während ihres Beschäftigungsverhältnisses verschiedene Phasen der Awareness.
Je länger sie im Unternehmen mit dem Thema Informationssicherheit konfrontiert werden, desto ausgereifter wird ihr Verständnis sicherheitsrelevanter Zusammenhänge und die praktische Umsetzung von Aktivitäten zur Erhöhung des Sicherheitsniveaus.
Der Awareness-Zyklus (siehe Abb. 3.6) beginnt mit dem Eintritt der Mitarbeiter ins Unternehmen und einer ersten Orientierung.
AnschlieÃend durchlaufen sie wiederholt die Phasen MaÃnahmen, Reflexion und Anwendung. Mit steigender Anzahl an Durchläufen steigt auch die Awareness der Mitarbeiter immer weiter an. Bei risikoreichen Gruppen ist die Durchlaufgeschwindigkeit grundsätzlich höher als bei risikoarmen. Die Zielgruppenorientierung der MaÃnahmen ist abhängig von den geschäftlichen Aufgaben, mit denen die Mitarbeiter im Unternehmen betraut sind.
Bevor ein Mitarbeiter aus dem Unternehmen austritt, erfolgt normalerweise eine Ãbergabe.
Abb. 3.6: Awareness-Zyklus 1.Beim Einstieg eines Mitarbeiters legt das Unternehmen die Rolle des neuen Mitarbeiters fest und informiert ihn über grundlegende Rahmenbedingungen und Regeln. Ãblicherweise werden die zugewiesenen geschäftlichen Aufgaben in einer Stellen- oder Rollenbeschreibung (zumindest grob) beschrieben. Sollte ein Mitarbeiter mehrere Rollen wahrnehmen, sind für ihn auch mehrere Rollenbeschreibungen gültig. Mitarbeiter, deren Arbeit eine starke Verbindung zur Informationssicherheit aufweist, sollten mit der Stellen- oder Rollenbeschreibung auf sicherheitsrelevante Aufgaben hingewiesen werden. Hierbei kann die Beschreibung von regulären Aufgaben mit Sicherheitshinweisen versehen werden, um damit eine erste Awareness zu schaffen. Am häufigsten betrifft dies Stellen oder Rollen, die im IT-Bereich angesiedelt sind (siehe Tab. 3.3).
Tab. 3.3: Beispiele zu Aufgabenbeschreibungen
Rolle Aufgabenbeschreibung ohne Sicherheitshinweis Aufgabenbeschreibung mit Sicherheitshinweis
Softwareentwickler Entwicklung von Web-Anwendungen Entwicklung von sicheren Web-Anwendungen
Konzeption von Softwarearchitekturen Konzeption von Softwarearchitekturen mit Security-by-Design
Systemadministrator Installation, Konfiguration und Wartung neuer Server Installation, Konfiguration, Härtung und Wartung neuer Server
Prüfung und Bewertung neuer Technologien Prüfung und Bewertung neuer Technologien unter Qualitäts- und Sicherheitsaspekten
Netzwerkadministrator Reibungsloser Betrieb des internen Netzwerks Reibungsloser und sicherer Betrieb des internen Netzwerks
Weiterentwicklung und Dokumentation der Netzwerk-Infrastruktur Weiterentwicklung, Absicherung und Dokumentation der Netzwerk-Infrastruktur
IT-Projektmanager Projektleitung zur Konzeption und Entwicklung komplexer IT- Lösungen Projektleitung zur Konzeption und Entwicklung komplexer, sicherer IT-Lösungen
Einsatz von Methoden, Standards und Tools für das Management von Projekten Einsatz von Methoden, Standards und Tools für das Management von sensitiven Projekten
2.In der Orientierung werden dem neuen Mitarbeiter relevante Vorgaben nähergebracht, von denen alle Mitarbeiter im Unternehmen betroffen sind â vor allem aus den Bereichen Compliance und Unternehmenskultur. Die Orientierung des Mitarbeiters im Unternehmen kann formell oder informell durchgeführt werden: Informelle Orientierungen werden meist durch die unmittelbaren Vorgesetzten oder Kollegen durchgeführt. Hierbei werden dem Mitarbeiter bestehende Vorgaben z. B. von Angesicht zu Angesicht oder im Rahmen eines einführenden Training-on-the-jobs bekannt gemacht. Formelle Orientierungen werden meist von der Personalabteilung organisiert und moderiert. Dabei werden Dokumente und Präsentationen verwendet, die vorher von den betreffenden Fachabteilungen zusammengestellt wurden. Oft fordert die Personalabteilung vor Beschäftigungsbeginn von neuen Mitarbeitern eine schriftliche Bestätigung darüber an, dass sie wichtige Vorgaben zur Kenntnis genommen haben.
3.Die MaÃnahmen dienen der gezielten Vermittlung von geschäftsrelevanten Informationen rund um Informationssicherheit. Mit ihnen soll die Awareness der Mitarbeiter erhöht, und dadurch ihr Verhalten positiv beeinflusst werden. Mithilfe von verschiedenen MaÃnahmen können Gruppen oder einzelne Mitarbeiter gezielt, also passend zu ihrem Aufgabengebiet, mit speziellen Informationen versorgt werden. Unter anderem sollten Softwareentwickler an das Thema sichere Softwareentwicklung und Systemadministratoren an das Thema Härtung herangeführt werden.
Download
Diese Site speichert keine Dateien auf ihrem Server. Wir indizieren und verlinken nur Inhalte von anderen Websites zur Verfügung gestellt. Wenden Sie sich an die Inhaltsanbieter, um etwaige urheberrechtlich geschützte Inhalte zu entfernen, und senden Sie uns eine E-Mail. Wir werden die entsprechenden Links oder Inhalte umgehend entfernen.
Edward Snowden - Geschichte einer Weltaffäre by Weltkiosk(902)
Sie kennen dich! Sie haben dich! Sie steuern dich! by Morgenroth Markus(889)
Das digitale Wir : Unser Weg in die transparente Gesellschaft by Peter Schaar(883)
Spurlos und Verschlüsselt! Von sicherer Kommunikation und anonymem Surfen by Tobias Gillen(864)
Das Ende unserer Demokratie · Wie die künstliche Intelligenz die Politik übernimmt und uns entmündigt by Hofstetter Yvonne(835)
Das Ende der Privatsphäre: Der Weg in die Überwachungsgesellschaft by Peter Schaar(823)
Inside Anonymous: Aus dem Innenleben des globalen Cyber-Aufstands (German Edition) by Olson Parmy(816)
Penetration Testing mit Metasploit by Brabetz Sebastian(811)
Willkommen im Darknet: Eine Reise in das Darknet - Das Buch für Neugierige (German Edition) by Schnoor Peter(795)
Management der Informationssicherheit by Aleksandra Sowa(793)
Das Neue Spiel by Michael Seemann(782)
Die Daten-Enteignung by Michael Spehr (Hrsg.)(727)
CRC Press - Cryptography, Theory and Practice (1995) by by Douglas Stinson(725)
Kryptografie für Dummies by Hans Werner Lang(712)
Implementing Multifactor Authentication by Marco Fanti(302)
Skorpipn by Max Harald Haas(225)
Security Awareness by Stefan Beißel(201)
Mastering Microsoft Intune, Second Edition by Christiaan Brinkhoff | Per Larsen(169)