Möchten Sie die IT-Sicherheit in Ihrem Unternehmen verbessern?
Die wichtigste Aufgabe ist es, Ihre Mitarbeiter regelmäßig im Sicherheitsbewusstsein zu schulen.
Seit Jahren konzentrieren sich Unternehmen nur auf technische Maßnahmen, um sich gegen Cyber-Bedrohungen zu schützen. In der Tat sind eine gute Endpoint Protektion, Firewall- und Antivirus-Lösung wichtige Elemente der Informationssicherheitsstrategie eines Unternehmens. Es wurde jedoch die Auffassung vertreten, dass diese technischen Barrieren jede Organisation ausreichend gegen jede Art von Sicherheitsbedrohung schützen können.
Eine große Anzahl von Bedrohungen wie auch aktuell Emotet durchläuft Spam-Filter. Tatsächlich beginnen 92 % aller erfolgreichen Cyberangriffe auf Unternehmen mit Phishing-Mails. Und immer mehr Unternehmen erkennen, dass sie eine sehr wichtige Verteidigungslinie vernachlässigt haben: ihre Mitarbeiter.
Kann man in einem Unternehmen das Sicherheitsbewusstsein seiner Mitarbeiter messen?
Ein hoch entwickelter CxO / „Fake Präsident“ Betrug oder ein modifizierter Ransomware-Typ wird von Endbeine-Protektion-Lösungen nicht bemerkt. Die Mitarbeiter können sie jedoch erkennen – wenn sie sich dieser spezifischen Bedrohungen bewusst sind und geschult wurden, um sie zu erkennen. Und es gibt noch viel Potenzial: Cyber-Sicherheitsbewusstsein ist der größte und wahrscheinlich effizienteste Hebel, nur weil das Thema so viele Jahre ignoriert wurde.
Wie kann ein Unternehmen die Mitarbeiter sensibilisieren?
Alles, was ein Unternehmen im Bereich des Bewusstseins tut, ist eine gute Sache. Dies kann mit einfachen Maßnahmen beginnen, z. B. gedruckten Kommunikationskampagnen, beispielsweise Plakaten an der Wand, um das Thema zu thematisieren. Es ist immer hilfreich, dies auf lustige oder spielerische Weise zu tun, da Informationssicherheit für die meisten Mitarbeiter ein mehr oder weniger trockenes Thema ist. Natürlich sind Schulungen auch eine gute Möglichkeit, Wissen zu vermitteln. Die meisten Unternehmen haben jedoch Schwierigkeiten, alle Angestellten zu Präsenzseminaren zu schicken, da dies ein enormer Kostenfaktor ist und die Qualität solcher Seminare beträchtlich heterogen ist. E-Learning ist daher eine gutes und breit gefächerte Mittel, um die gesamte Belegschaft einer Organisation in einer Vielzahl von Sicherheitsthemen zu sensibilisieren.
Die wichtigsten Empfehlungen, um die Sicherheit in Bezug auf menschliche Fehler zu verbessern
- Anerkennen, dass es menschliches Versagen gibt. Einige CISOs oder Informationssicherheitsbeauftragte, mit denen wir sprechen, sagen uns: „Wir erhalten keine Phishing-Mails. Im letzten Jahr gab es keinen Bericht. “ Ich habe immer etwas Angst, wenn ich so etwas höre. Es ist eine Tatsache, dass jedes Unternehmen der Welt ständig von Cyberkriminellen angegriffen wird. Es ist auch eine Tatsache, dass technische Barrieren nicht 100 % aller Phishing-Mails filtern können. Daher bedeutet eine Aussage wie diese, dass die Mitarbeiter einfach nicht wissen, wie sie eine betrügerische Post finden oder was damit zu tun ist (Ablegen, dies der IT-Abteilung melden). Und dies ist eine sehr gefährliche Situation.
- Setzen Sie das Thema hoch auf die Tagesordnung. Ich weiß, Cyber- Security ist nicht das glamouröseste und wichtigste Thema, das sich ein CEO vorstellen kann. Das ist das Problem bei allen Präventionsthemen. Sie sind nicht wichtig, bis es zu spät ist. Es kann jedoch hilfreich sein, es als Geschäftsfall oder ähnlich einer Versicherungspolice zu betrachten. In einer vollständig digitalisierten Welt, in der die Mitarbeiter in den meisten Organisationen mit digitalen Prozessen konfrontiert werden, ist Cyber-Sicherheitsbewusstsein etwas, das Sie tun müssen, um ein äußerst kostspieliges Worst-Case-Szenario zu vermeiden. Fragen Sie einfach Søren Skou, den CEO von Maersk (oder ein anderes Unternehmen, das in diesem Jahr massiv gehackt wurde), was er von Prävention und Cyber- Security-Bewusstsein hält.
- Schaffen Sie unter Ihren Mitarbeitern ein Bewusstsein, jedoch ständig! Die meisten CISOs führender Unternehmen haben erkannt, dass Bewusstsein ein wesentlicher Bestandteil jeder Strategie zur Cyberverteidigung ist. Es gibt jedoch oft die falsche Vorstellung, dass Sie nur eine Kampagne durchführen und Ihr Häkchen setzen. Unsere Daten zeigen, dass Sie nur dann dauerhaft sensibilisiert werden, wenn Sie Ihre Mitarbeiter ständig sensibilisieren. Menschen neigen dazu, sich auf andere Themen in ihrem Alltag zu konzentrieren und Ihr Unternehmen hat auch eine Fluktuation. Aus diesem Grund ist es wichtig, Bewusstsein als ständige Maßnahme und nicht als einmaliges Instrument zu betrachten. Schließlich kauft man sich auch keine Antivirus-Lösung und führen sie nur einmal aus, oder?