Kurz gefasst
Bildung und Sensibilisierung sind ein fester Bestandteil des Risikomanagements. Ohne eine wirksame Kommunikation der Risiken, also Bedrohungen, Schwachstellen und Auswirkungen sowie der umgesetzten Sicherheitsmaßnahmen, wird jedes Mitglied der Organisation ein potentielle Gefahr für die Organisation.
Die Anforderungen in Bezug auf das Verhalten der Mitarbeiter hängen von mehreren Faktoren ab:
-
die Kritikalität der Werte, welche die Mitarbeiter verwalten (erwartete Auswirkungen),
-
das Niveau der Bedrohungen,
-
das Vorhandensein von mehr oder weniger großen Schwachstellen.
Bildung und Sensibilisierung haben als Ziel, dass alle Mitarbeiter der Organisation ein entsprechendes Verhalten annehmen. Um bei dieser Aufgabe erfolgreich zu sein, müssen regelmäßige Trainings- und Aufklärungskampagnen durchgeführt werden. Die unterschiedlichen Kompetenzniveaus, die bei einer solchen Kampagne erreicht werden können, werden wie folgt definiert :
-
Sensibilisiert : der Teilnehmer kennt und versteht Basiskonzepte.
-
Vertraut: der Teilnehmer verfügt über Fähigkeiten, die in Standardsituationen eingesetzt werden können.
-
Beherrscht: der Teilnehmer verfügt über Fähigkeiten, die in komplexen Situationen eingesetzt werden können.
Die Sensibilisierung
Die Sensibilisierung dient dazu, Mitarbeiter einer Organisation aufmerksam gegenüber Problemen zu machen. Sie kann Verhalten verändern, darf aber nicht mit einer Schulung verwechselt werden, welche darauf abzielt, Wissen und Fähigkeiten zu vermitteln.
Einige Beispiele von Sensibilisierungen: Die Sensibilisierung wird auch mit Hilfe von Kommunikationsmitteln durchgeführt, welche die Mitarbeiter an einen angemessenen Umgang mit Informationen erinnert:
-
Verteilen von Hausmitteilungen, Informationsblättern, Videos oder Sicherheitsbroschüren.
-
Einsatz von Postern, Mousepads und Aushängen.
-
Benutzung technischer Mittel wie Bildschirmschoner oder Bildschirmhintergrund mit einer Sicherheitsbotschaft.
Die Aufgabe der Sensibilisierung der Mitarbeiter wird in einem Sensibilisierungsplan mit mehrjähriger Laufzeit umgesetzt. Dabei müssen mehrere Parameter berücksichtigt werden:
-
Begründung der Sicherheitsmaßnahmen,
-
Attraktivität und Wirksamkeit der Botschaft und des eingesetzten Mediums;
-
Punkte, die die Messung der Wirksamkeit des Sensibilisierungsplans ermöglichen.
Poster-Kampagnen
Poster-Kampagnen sind Sensibilisierungkampagnen, welche an Regeln erinnern können beziehungsweise Mitarbeiter auf bestimmte Probleme aufmerksam machen können. Sie können auch in Form von "Teasern" organisiert werden, vor der Durchführung einer Sensibilisierungskampagne, die mit Hilfe von Präsentationen durchgeführt wird.
Beispiele für Poster
Schulungen
Der Mensch wendet nur jene Regeln an, die er kennt. Es ist daher notwendig, Mitarbeiter in den für die Informationssicherheit notwendigen Verhaltensregeln, organisatorischen und technischen Regeln zu schulen, um:
-
den Mitarbeitern das notwendige Wissen zu vermitteln, das sie zum Schutz der Informationen in Standardsituationen haben müssen;
-
den Mitarbeitern die nötigen Sicherheitsreflexe zu vermitteln und sie über die Nützlichkeit der Maßnahmen zu informieren, selbst wenn diese beschwerlich erscheinen;
-
den Mitarbeitern das richtige Verhalten im Zweifelsfall, in spezifischen Fällen oder bei Informationssicherheitsereignissen beizubringen.
Die Schulungen verlangen eine aktive Teilnahme der Mitarbeiter und werden von einem Ausbilder durchgeführt. Die Schulungen innerhalb einer Organisation müssen Teil eines kontinuierlichen Prozesses sein. Es muss mindestens an eine Initial-Schulung nach der Einstellung der Mitarbeiter gedacht werden.
Die Initial-Schulung
Eine solche Initial-Schulung des Personals kann den unten beschriebenen Inhalt haben. Jede Schulung muss jedoch an die spezifischen Bedürfnisse der Teilnehmer angepasst werden. Einige haben mehr spezielle Bedürfnisse:
Die Präsentationen oder Demonstrationen von CASES zielen darauf ab, das Bewusstsein der Mitarbeiter für die Informationssicherheit zu erhöhen. Der Ausbilder, ein Experte, vermittelt das Know-How mit Hilfe einer Vielzahl von Beispielen und beantwortet alle aufkommenden Fragen.
Die Basisschulung dauert 3 Stunden und kann in Ihrem Gebäude gehalten werden. Für weitere Details: my.cases.lu.
|
|
Wissen |
Know-How |
Niveau |
|
1 |
Der Begriff des Risikos |
Wissen, was eine Bedrohung, eine Schwachstelle und eine Auswirkung ist. |
Vertraut |
|
2. |
DieSchwachstellen |
Zwischen verschiedenen Arten von Schwachstellen unterscheiden können. |
|
|
2.1. |
Menschliche Schwachstellen |
Die verschiedenen menschlichen Schwachstellen kennen |
Vertraut |
|
2.2. |
Technische Schwachstellen |
Technische Schwachstellen vorstellen |
Sensibilisiert |
|
3. |
Die Bedrohungen |
Bedrohungen erkennen, indem man untersucht, welche Schwachstellen ausgenutzt werden sollen. |
|
|
3.1. |
Schadprogramme |
Die Unterschiede zwischen den drei Typen von Schadprogrammen verstehen |
Vertraut |
|
3.1.1. |
Viren |
Verstehen, dass die Schadprogramme des Typs Virus menschliche Schwachstellen ausnutzen. |
Vertraut |
|
3.1.2. |
Würmer |
Verstehen, dass die Schadprogramme des Typs Wurm technische Schwachstellen ausnutzen. |
Vertraut |
|
3.1.3. |
Trojanische Pferde |
Verstehen, dass die Schadprogramme des Typs Trojaner menschliche Schwachstellen ausnutzen und zum Zweck der Spionage eingesetzt werden. |
Vertraut |
|
3.2. |
Die Motivation hinter den Bedrohungen |
Die Mitarbeiter sensibilisieren, dass Bedrohungen real sind, Motivationen der Angreifer aufzeigen und mögliche Ziele erklären. |
Sensibilisiert |
|
3.3. |
Spam |
Spam erkennen und wissen, welche menschliche Schwachstelle er ausnutzen soll. |
Vertraut |
|
3.4. |
Der gezielte Spam |
Die Mitarbeiter darauf hinweisen, dass es gezielte Angriffe per E-Mail gibt. Die Verbindung mit sozialen Netzwerken herstellen. |
Sensibilisiert |
|
3.5. |
Phishing |
Angriffe des Typs Phishing erkennen. Die drei Indikatoren kennen. |
Vertraut |
|
3.6. |
Die Schattenwirtschaft |
Bewusstsein für die Schattenwirtschaft schaffen: Zeigen Sie die notwendigen Investitionen auf, um die Allgegenwart der Bedrohung zu erklären. |
Sensibilisiert |
|
3.7. |
Die physikalische Sicherheit |
Aspekte der physikalischen Sicherheit verstehen |
Sensibilisiert |
|
3.7.1. |
Der physische Zugang |
Folgen in Bezug auf einen physischen Zugang |
Sensibilisiert |
|
3.7.2. |
Management von Besuchern |
Wissen, wie mit unbekannten Personen umgegangen werden soll |
Sensibilisiert |
|
3.7.3. |
Am Drucker abfangen |
Die Gefahren in Bezug auf das Drucken von sensiblen Informationen erkennen |
Sensibilisiert |
|
3.7.4. |
Das Recycling von Papier |
Die Gefahren in Bezug auf das Recycling von Papier erkennen (Schredder einsetzen, bevor das Papier recycelt wird) |
Vertraut |
|
3.7.5. |
Werkzeuge, welche der Bedrohung zur Verfügung stehen |
Das Bewusstsein dafür schaffen, dass Spionagetools erschwinglich sind und das die Einsatzwahrscheinlichkeit solcher Tools hoch ist. |
Sensibilisiert |
|
3.8. |
Social Engineering |
Einen Angriff des Typs Social engineering erkennen. Wissen, wie man die Schwachstellen, die bei einem solchen Angriff ausgenutzt werden, minimalisieren kann. |
Vertraut |
|
3.9. |
Metadaten |
Die Gefahr verstehen, die von denen in Office- oder OpenOffice-Dokumenten befindlichen Metadaten ausgehen kann |
Sensibilisiert |
|
3.10 |
Metadaten |
Die Gefahr verstehen, die von denen in anderen Filetypen befindlichen Metadaten ausgehen kann |
Sensibilisiert |
|
4. |
Vorbeugende Maßnahmen und der Schutz |
Der Schutz wird durch das richtige Verhalten der Mitarbeiter sowie durch organisatorische und technische Maßnahmen umgesetzt |
Sensibilisiert |
|
4.1. |
die Authentifizierung |
Die drei verschiedenen Authentifizierungs-Typen verstehen. Erklären Sie den Mehrwert von LuxTrust |
Sensibilisiert |
|
4.2. |
Das Passwort |
Erklären Sie im Detail die richtige Verwaltung von Passwörtern |
Vertraut |
|
4.3. |
Verschiedene Typen von Nutzer-Konten |
Verstehen, warum man mit Standard-Konten und nicht mir Administratoren-Konten arbeiten soll |
Vertraut |
|
4.4. |
Automatische Updates |
Die Wichtigkeit der automatischen Updates des Betriebssystems sowie aller installierten Programme verstehen |
Sensibilisiert |
|
4.5. |
Antivirenprogramme |
Die Wichtigkeit, aber auch die Grenzen der Antivirenprogramme verstehen |
Sensibilisiert |
|
4.6. |
Firewall |
Die Wichtigkeit, aber auch die Grenzen der Firewall verstehen |
Sensibilisiert |
|
4.7. |
SSL |
Die Notwendigkeit verstehen, Kommunikationen mit einen Web-Server (SSL) zu verschlüsseln, besonders im beruflichen Kontext sowie beim E-Commerce |
Vertraut |
|
4.8. |
Kommunikation |
Wie kommunizieren Die gleichzeitige Verwendung mehrerer Kommunikationskanäle kann die Sicherheit verbessern. Auf die Risiken der jeweiligen Kommunikationskanäle aufmerksam machen, besonders jene in Bezug auf E-Mail - bewährte Praktiken |
Sensibilisiert |
|
4.9. |
Sicherheit auf Dienstreisen |
Machen Sie die Mitarbeiter auf das Spioanagerisko während Dienstreisen aufmerksam. Ein spezielle Kursunterlage wird ausgeteilt |
Sensibilisiert |
|
4.10. |
Mobiltelefone |
Machen Sie die Mitarbeiter auf spezielle Sicherheitsmaßnahmen aufmerksam, die vor dem Einsatz von Smartphones umgesetzt werden müssen. |
Sensibilisiert |
|
5 |
Machen Sie die Mitarbeiter auf die verschiedenen Paragrafen des Strafrechts aufmerksam, die Straftaten in Bezug auf Informationssysteme abdecken. |
Sensibilisiert |