Security Awareness by Stefan Beißel

Security Awareness by Stefan Beißel

Autor:Stefan Beißel
Die sprache: deu
Format: epub
Herausgeber: Walter de Gruyter
veröffentlicht: 2019-04-15T00:00:00+00:00


3.4Awareness-Zyklus

Mitarbeiter durchlaufen in einem Unternehmen während ihres Beschäftigungsverhältnisses verschiedene Phasen der Awareness.

Je länger sie im Unternehmen mit dem Thema Informationssicherheit konfrontiert werden, desto ausgereifter wird ihr Verständnis sicherheitsrelevanter Zusammenhänge und die praktische Umsetzung von Aktivitäten zur Erhöhung des Sicherheitsniveaus.

Der Awareness-Zyklus (siehe Abb. 3.6) beginnt mit dem Eintritt der Mitarbeiter ins Unternehmen und einer ersten Orientierung.

Anschließend durchlaufen sie wiederholt die Phasen Maßnahmen, Reflexion und Anwendung. Mit steigender Anzahl an Durchläufen steigt auch die Awareness der Mitarbeiter immer weiter an. Bei risikoreichen Gruppen ist die Durchlaufgeschwindigkeit grundsätzlich höher als bei risikoarmen. Die Zielgruppenorientierung der Maßnahmen ist abhängig von den geschäftlichen Aufgaben, mit denen die Mitarbeiter im Unternehmen betraut sind.

Bevor ein Mitarbeiter aus dem Unternehmen austritt, erfolgt normalerweise eine Übergabe.

Abb. 3.6: Awareness-Zyklus 1.Beim Einstieg eines Mitarbeiters legt das Unternehmen die Rolle des neuen Mitarbeiters fest und informiert ihn über grundlegende Rahmenbedingungen und Regeln. Üblicherweise werden die zugewiesenen geschäftlichen Aufgaben in einer Stellen- oder Rollenbeschreibung (zumindest grob) beschrieben. Sollte ein Mitarbeiter mehrere Rollen wahrnehmen, sind für ihn auch mehrere Rollenbeschreibungen gültig. Mitarbeiter, deren Arbeit eine starke Verbindung zur Informationssicherheit aufweist, sollten mit der Stellen- oder Rollenbeschreibung auf sicherheitsrelevante Aufgaben hingewiesen werden. Hierbei kann die Beschreibung von regulären Aufgaben mit Sicherheitshinweisen versehen werden, um damit eine erste Awareness zu schaffen. Am häufigsten betrifft dies Stellen oder Rollen, die im IT-Bereich angesiedelt sind (siehe Tab. 3.3).

Tab. 3.3: Beispiele zu Aufgabenbeschreibungen

Rolle Aufgabenbeschreibung ohne Sicherheitshinweis Aufgabenbeschreibung mit Sicherheitshinweis

Softwareentwickler Entwicklung von Web-Anwendungen Entwicklung von sicheren Web-Anwendungen

Konzeption von Softwarearchitekturen Konzeption von Softwarearchitekturen mit Security-by-Design

Systemadministrator Installation, Konfiguration und Wartung neuer Server Installation, Konfiguration, Härtung und Wartung neuer Server

Prüfung und Bewertung neuer Technologien Prüfung und Bewertung neuer Technologien unter Qualitäts- und Sicherheitsaspekten

Netzwerkadministrator Reibungsloser Betrieb des internen Netzwerks Reibungsloser und sicherer Betrieb des internen Netzwerks

Weiterentwicklung und Dokumentation der Netzwerk-Infrastruktur Weiterentwicklung, Absicherung und Dokumentation der Netzwerk-Infrastruktur

IT-Projektmanager Projektleitung zur Konzeption und Entwicklung komplexer IT- Lösungen Projektleitung zur Konzeption und Entwicklung komplexer, sicherer IT-Lösungen

Einsatz von Methoden, Standards und Tools für das Management von Projekten Einsatz von Methoden, Standards und Tools für das Management von sensitiven Projekten

2.In der Orientierung werden dem neuen Mitarbeiter relevante Vorgaben nähergebracht, von denen alle Mitarbeiter im Unternehmen betroffen sind – vor allem aus den Bereichen Compliance und Unternehmenskultur. Die Orientierung des Mitarbeiters im Unternehmen kann formell oder informell durchgeführt werden: Informelle Orientierungen werden meist durch die unmittelbaren Vorgesetzten oder Kollegen durchgeführt. Hierbei werden dem Mitarbeiter bestehende Vorgaben z. B. von Angesicht zu Angesicht oder im Rahmen eines einführenden Training-on-the-jobs bekannt gemacht. Formelle Orientierungen werden meist von der Personalabteilung organisiert und moderiert. Dabei werden Dokumente und Präsentationen verwendet, die vorher von den betreffenden Fachabteilungen zusammengestellt wurden. Oft fordert die Personalabteilung vor Beschäftigungsbeginn von neuen Mitarbeitern eine schriftliche Bestätigung darüber an, dass sie wichtige Vorgaben zur Kenntnis genommen haben.

3.Die Maßnahmen dienen der gezielten Vermittlung von geschäftsrelevanten Informationen rund um Informationssicherheit. Mit ihnen soll die Awareness der Mitarbeiter erhöht, und dadurch ihr Verhalten positiv beeinflusst werden. Mithilfe von verschiedenen Maßnahmen können Gruppen oder einzelne Mitarbeiter gezielt, also passend zu ihrem Aufgabengebiet, mit speziellen Informationen versorgt werden. Unter anderem sollten Softwareentwickler an das Thema sichere Softwareentwicklung und Systemadministratoren an das Thema Härtung herangeführt werden.



Download



Haftungsausschluss:
Diese Site speichert keine Dateien auf ihrem Server. Wir indizieren und verlinken nur                                                  Inhalte von anderen Websites zur Verfügung gestellt. Wenden Sie sich an die Inhaltsanbieter, um etwaige urheberrechtlich geschützte Inhalte zu entfernen, und senden Sie uns eine E-Mail. Wir werden die entsprechenden Links oder Inhalte umgehend entfernen.