Your SlideShare is downloading. ×
Whitepaper Security Awareness Kampagnen
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Whitepaper Security Awareness Kampagnen

589

Published on

Informationen zur IT-Sicherheit. …

Informationen zur IT-Sicherheit.

Privatwirtschaftliche Unternehmen und Behörden haben jahrelang die Sicherheit ihrer Computersysteme und Netzwerke verbessert. Gut konfigurierte Firewalls, Virenscanner und Intrusion Detection Systeme erschweren Computerkriminellen und Spionen deutlich Ihr Handwerk.
Aus diesem Grund haben die Angreifer ihren Fokus in den letzten Jahren immer mehr auf ein neues, vermeintlich einfacheres Angriffsziel verändert: den Mitarbeiter. Mittlerweile gilt „der Mensch“ als das schwächste Glied in der unternehmensweiten Sicherheitskette.

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
589
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
23
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Sicherheit verstehen und leben! Erfolgreiche Sensibilisierung von Mitarbeitern und Führungskräften. Whitepaper Georg Janko und Frank v. Stetten HvS-Consulting AG, 2012
  • 2. Whitepaper Security Awareness Inhalt 1 Die Herausforderung 2 2 Die Lösung 3 3 Der psychologische Aspekt 4 4 Security Awareness Kampagnen 5 4.1 Phase 1 „Wach rütteln“ 6 4.2 Phase 2 „Wissen vermitteln“ 8 4.3 Phase 3 „Nachhaltigkeit“ 10 4.4 Begleitende Kampagnenelemente 12 5 Auswahl der geeigneten Kampagnenelemente 13 6 Make or buy? 14 7 Ihr Kontakt zu HvS-Consulting 17 1 Die Herausforderung Privatwirtschaftliche Unternehmen und Behörden haben jahrelang die Sicherheit ihrer Computersysteme und Netzwerke verbessert. Gut konfigurierte Firewalls, Virenscanner und Intrusion Detection Systeme erschweren Computerkriminellen und Spionen deutlich Ihr Handwerk. Aus diesem Grund haben die Angreifer ihren Fokus in den letzten Jahren immer mehr auf ein neues, vermeintlich einfacheres Angriffsziel verändert: den Mitarbeiter. Mittlerweile gilt „der Mensch“ als das schwächste Glied in der unternehmensweiten Sicherheitskette. Moderne Industriespione versuchen z.B. nicht mehr primär, Computersysteme zu hacken, sondern Sie erschleichen sich von Mitarbeitern Benutzername und Passwort und erhalten somit „legitimierten“ Zugriff auf kritische Systeme. www.hvs-consulting.de Seite 2 von 17
  • 3. Whitepaper Security Awareness Das Eindringen in ein Unternehmen durch List und Manipulation bezeichnet man als Social Engineering. Der Angreifer hat das Ziel, sich das Vertrauen der Mitarbeiter zu erschleichen und dann zu missbrauchen, um so schrittweise über mehrere Phasen an Geheimnisse und Interna zu gelangen bzw. die Opfer zu manipulieren. Das größte Sicherheitsrisiko großer Unternehmen als auch individueller Internetnutzer wird für die kommenden 10 Jahre die immer stärker werdende Nutzung von Social Engineering um die Schutzmauern der IT zu durchbrechen. Rich Mogull, Research Director Gartner, 2006 2 Die Lösung Die einzig effektive Antwort auf diese neue und weiter zunehmende Bedrohung lautet: Sensibilisierung der Mitarbeiter und des Managements zum Thema Informationssicherheit, d.h. die Schaffung eines Sicherheitsbewusstseins (engl. Security Awareness) als Bestandteil der Unternehmenskultur. Hierzu bedarf es einer bewussten Verhaltensänderung der Mitarbeiter in sicherheitsrelevanten Situationen, zum Beispiel:  Den PC sperren, auch wenn man nur kurz den Arbeitsplatz verlässt.  Vertrauliche Unterlagen wegsperren.  Unbekannte Personen im Gebäude ansprechen.  Niemandem sein Passwort weitergeben.  Etc. www.hvs-consulting.de Seite 3 von 17
  • 4. Whitepaper Security Awareness 3 Der psychologische Aspekt Da menschliches Verhalten prinzipiell durch die individuelle Einstellung des Einzelnen gegenüber einem Thema beeinflusst wird, wird sich das Verhalten im Bereich Sicherheit nur ändern, wenn sich die Einstellung zum Bereich Sicherheit ändert. Die Einstellung gegenüber dem Thema Sicherheit festigt sich im Menschen auf zwei Ebenen:  Der kognitiven Ebene: Das „Wissen“ um die Sache, also die Kenntnis über potenzielle Gefahren und entsprechende Richtlinien im Unternehmen.  Der emotionalen Ebene: Sympathie (Sicherheit als positiv assoziiertes Gefühl) oder Antipathie (Sicherheit assoziiert als lästige Vorschriften, die den persönlichen Handlungsspielraum einschränken). Die reine Kenntnis der Sicherheitsrichtlinien wird nicht in einer Verhaltensänderung münden, solange dafür kein Verständnis erzeugt wird und dieses Verhalten nicht als „positiv“ wahrgenommen wird. Die Formel für eine erfolgreiche Verhaltensänderung im Bereich der Informationssicherheit lautet daher: Motivieren  Bei allen Mitarbeitern eine positive Einstellung zum Thema Sicherheit erzeugen.  Durch Aufzeigen der Gefahrenpotenziale und transparente Erläuterung Verständnis für getroffene Sicherheitsmaßnahmen und Richtlinien wecken (Sicherheit ist erforderlich und nützlich, nicht lästig). und Informieren  Ansprechpartner zum Thema Sicherheit bekannt geben.  Die aktuelle Umsetzung der Sicherheitsmaßnahmen und Richtlinien erläutern. www.hvs-consulting.de Seite 4 von 17
  • 5. Whitepaper Security Awareness Die Sensibilisierung der Mitarbeiter zum Thema Informationssicherheit ist ein kontinuierlicher Prozess. Menschen vergessen Dinge schnell, wenn Sie nicht regelmäßig damit konfrontiert werden. Kurzfristige, massive Maßnahmen können zwar in sehr kurzer Zeit eine hohe Bekanntheitsrate erreichen, werden aber genauso schnell wieder vergessen und sind daher zur Verhaltensänderung ungeeignet. Deshalb sollten die Maßnahmen über einen längeren Zeitraum geplant und umgesetzt werden. 4 Security Awareness Kampagnen Eine Security Awareness Kampagne hat das Ziel, alle Mitarbeiter im Unternehmen zum Thema Informationssicherheit zu informieren und zu motivieren. Das vermittelte Wissen soll in Verbindung mit einer positiven Einstellung zum Thema Sicherheit zu einer dauerhaften Verhaltensänderung der Mitarbeiter führen und somit die Sicherheit des Unternehmens signifikant steigern. HvS Security Awareness Kampagnen basieren auf den Erkenntnissen moderner Markt- und Werbepsychologie und lassen sich in der Regel in folgende 3 Phasen einteilen: www.hvs-consulting.de Seite 5 von 17
  • 6. Whitepaper Security Awareness 4.1 Phase 1 „Wach rütteln“ Der Kampagnenstart soll Aufmerksamkeit bei den Mitarbeitern erzeugen. Dies kann über verschiedene Wege erfolgen: Security Assessment mit Social Engineering Im Rahmen eines Social Engineering Assessments wird ein sehr realistisch simulierter IndustriespionageAngriff auf ausgewählte und abgestimmte Bereiche Ihres Unternehmens durchgeführt. Dabei wird versucht, auf Grund mangelnden Sicherheitsbewusstseins der Mitarbeiter, Administratoren oder des Wach- & Putzdienstes Zugriff auf vertrauliche Daten zuzugreifen bzw. diese zu manipulieren oder eine mögliche Sabotage von Betriebseinrichtungen zu dokumentieren. Ein Social Engineering Assessment erfolgt in der Regel in 3 Stufen: 1. Legaler und illegaler Zutritt zum Unternehmen mit Analyse der Wirksamkeit der physischen Infrastruktur und des Wachdienstes. 2. Angriff auf die Mitarbeiter mit Social Engineering Techniken, um vertrauliche Informationen (z.B. Username und Passwort) zu erlangen. 3. Dokumentation des Zugriffes auf geschäftskritische Systeme und des Diebstahles von Hardware und vertraulichen Informationen (z.B. Dokumente, CDs, etc.) Typische Ziele eines Angriffes sind z.B. Zugriff auf Personaldaten, Buchhaltungsdaten, Businesspläne, Strategien, Vorstandsdaten, Entwicklungsdaten. Der Angriff erfolgt hoch professionell in enger Abstimmung mit dem Kunden. Ein Social Engineering Assessment liefert als Ergebnis den "Status Quo" der Unternehmenssicherheit und des Sensibilisierungsgrades der Mitarbeiter / des Managements im Bereich Sicherheit. Dieser Status Quo ist eine exzellente Grundlage für a) die Sensibilisierung, da die Maßnahmen punktgenau auf die entdeckten Schwachstellen abgestimmt werden können, und b) die Messbarkeit von Verhaltensänderung bei nachfolgenden Assessments. Erfahrungsgemäß erzeugt die Ergebnispräsentation im Management eine außergewöhnlich hohe Aufmerksamkeit, weil nicht darüber gesprochen wird „was passieren könnte“ sondern „das ist bei uns passiert“. Wichtiger Hinweis: Da der Dienstleister im Erfolgsfall auf sehr sensitive Daten Zugriff erhält, sollte ein solcher Angriff nur durch Unternehmen mit hoher Reputation und zahlreichen nachweisbaren Referenzen durchgeführt werden. www.hvs-consulting.de Seite 6 von 17
  • 7. Whitepaper Security Awareness Virus/Phishing-Attacke Eine „freche“ Variante zum Wachrütteln aller Mitarbeiter ist der Versand eines „Testvirus“. Diese erhalten z.B. eine E-Mail von einem unbekannten Absender mit einem Anhang, den sensibilisierte Mitarbeiter eigentlich nicht öffnen sollten. Fehlendes Sicherheitsbewusstsein in Verbindung mit menschlicher Neugier veranlasst dennoch viele Mitarbeiter, den Anhang zu öffnen. Nach dem Öffnen wird ein Virenbefall simuliert (z.B. mittels eines schwarzen Bildschirms und der Meldung, dass alle Daten gelöscht werden). Nach einer kurzen „Schock“-Phase erscheint ein Auflösungsbildschirm mit der Entwarnung und dem Hinweis auf den Kampagnenstart oder die Einladung zu Sicherheits-Trainings. Virtuelle Bedrohung Unter „virtueller Bedrohung“ verstehen wir die Schaffung eines imaginären Bösewichts, der Ihrem Unternehmen den Kampf ansagt. Er sendet z.B. als Auftakt eine E-Mail an die Geschäftsleitung und fordert das Unternehmen zu einem Wettkampf in Sachen Sicherheit heraus: „Mal sehen, wie gut Eure Sicherheit tatsächlich funktioniert“. Diese Kampfansage dient als Aufhänger für die darauffolgende Security Awareness Kampagne, z.B. bei Microsoft mit der Kampagne „Microsoft jagt das Phantom“. In verschiedenen Phasen der Kampagne testet „das Phantom“ durch simulierte Angriffe stichprobenartig den Sicherheitslevel der Mitarbeiter, z.B. durch Social Engineering, Phishing und Tailgaiting. Regelmäßig informiert es die Mitarbeiter über die Ergebnisse seiner Tests. Gewinnt das Phantom, kostet es das genüsslich aus. Gewinnen die Mitarbeiter, zollt es Anerkennung und Respekt. Die Methode der „virtuellen Bedrohung“ fördert den Teamgeist und die aktive Teilnahme der Mitarbeiter an der Kampagne. www.hvs-consulting.de Seite 7 von 17
  • 8. Whitepaper Security Awareness 4.2 Phase 2 „Wissen vermitteln“ „Informieren und Motivieren“ sind die zentralen Erfolgsfaktoren einer Security Awareness Kampagne. Nachdem Phase 1 einen Motivationsschub erzeugt, fokussiert die Phase 2 auf den Know-how Transfer, gepaart mit der Vermittlung einer positiven Einstellung zum Thema Informationssicherheit. Präsenztrainings Präsenztrainings sind das wirksamste Mittel zur Wissensvermittlung und der Schaffung von Verständnis für die Sicherheitsmaßnahmen.  Sicherheitsmaßnahmen werden durch Praxisbeispiele und Hintergrundinformationen verständlich erläutert.  Der Einsatz von Security Awareness Videos lockert das Training zusätzlich auf und steigert die Motivation zur Verhaltensänderung.  Live Hacking Demos verdeutlichen anschaulich das Gefahrenpotenzial. Beispiel: Erstellung eines Mailbombers Präsenztrainings dauern in der Regel zwischen 1,5 und 2,5 Stunden und werden idealerweise in einer Kombination aus externer Referent und Sicherheitsbeauftragter Ihres Unternehmens durchgeführt. Der externe Referent zeigt an Hand der Videos und Live Hacking Demos sehr anschaulich das Gefahrenpotenzial auf (Bad Boy), der Sicherheitsbeauftragte erläutert die Schutzmaßnahmen und Richtlinien, um dieser Bedrohung zu begegnen (Good Boy). Die verschiedenen Sprecher, Medien und Demos schaffen eine extrem hohe Aufmerksamkeit und Lernerfolg. Wir empfehlen, die Führungskräfte eines Unternehmens in jedem Fall durch Präsenztrainings zu sensibilisieren, da sie in ihrer Vorbildfunktion als positiver Multiplikator für Ihre Bereiche und den Mitarbeitern fungieren. www.hvs-consulting.de Seite 8 von 17
  • 9. Whitepaper Security Awareness Security Awareness Videos Security Awareness Videos sind das perfekte Medium um erlerntes Wissen in Verhalten umzusetzen. Der Mitarbeiter muss nicht jede bedrohliche Situation selbst erlebt haben, um ein sicherheitsbewusstes Verhalten im entsprechenden Augenblick an den Tag zu legen. Er kann durch „Lernen am Modell“ das gewünschte Verhalten an die konkrete Situation koppeln. Diese Art der audiovisuellen Wissensvermittlung wird nachweislich besser gelernt, erinnert und abgerufen als z.B. Text, Audio, Computeranimation, oder ähnliches. HvS-Consulting hat erfolgreiche Angriffe aus Social Engineering Assessments in anschaulichen Videoclips nachgedreht. In den Videos werden alle typischen Bedrohungen im Unternehmen abgedeckt. Durch reale Szenen mit realen Personen wird im ersten Schritt das Fehlverhalten aufgezeigt und im zweiten Schritt die korrekte Verhaltensweise dargestellt. Diese zweite, „vorbildliche“ Szene wird in der konkreten Gefahrensituation abgerufen und nachgeahmt. Webbasiertes Security Awareness Training Nicht alle Mitarbeiter können durch Präsenztrainings vor Ort erreicht werden. Vor allem Niederlassungen und Auslandstöchter stellen eine logistische und kostenspezifische Herausforderung dar. Der Erfolg einer Security Awareness Kampagne hängt jedoch durchaus von der Reichweite der Maßnahmen ab. Ein webbasiertes Security Awareness Training bietet sich hier als effiziente Lösung an. www.hvs-consulting.de Seite 9 von 17
  • 10. Whitepaper Security Awareness Webbasierte Trainings bieten eine Plattform um  Wissen zu vermitteln,  in Verhalten umzusetzen und  zu festigen. Da diese Trainings von jedem Mitarbeiter individuell zu unterschiedlichen Zeiten absolviert werden, gibt es keine direkte Interaktion wie in einem Präsenztraining. Um die Erfolgsquote einer webbasierten Schulung dennoch auf ein hohes Niveau zu bringen, empfiehlt sich die Kombination verschiedener Lernmethoden:  Die Inhalte sollten kurzweilig aufbereitet sein und durch Multimedia (z.B. Videos) unterstützt werden.  Die Teilnehmer sollten nicht nur konsumieren, sondern durch Übungen selbst aktiv das Erlernte widergeben.  Das Training sollte ein Prüfungsmodul enthalten, um den Lernerfolg messen und dokumentieren zu können. Allerdings müssen verpflichtende Trainings mit Erfolgsmessung i.d.R. von der Arbeitnehmervertretung genehmigt werden. Da sich die Inhalte in der Informationssicherheit kontinuierlich weiterentwickeln, sollten Sie darauf achten, dass Sie die Inhalte im webbasierten Training ohne großen Programmieraufwand und externe Kosten aktuell halten können. Große Konzerne setzen zur Mitarbeitersensibilisierung meist auf Ihre eigene Lernplattform und importieren professionelle Security Awareness Inhalte in das bestehende E-Learning System. Mittelständische Unternehmen setzen oftmals fertige Lösungen ein. 4.3 Phase 3 „Nachhaltigkeit“ Mit Ende der Phase 2 haben Ihre Mitarbeiter eine hohe Sensibilisierung zum Thema Informationssicherheit erworben und werden dies auch in verändertem Verhalten dokumentieren. Es besteht jedoch die Gefahr, dass dieser Erfolg nicht von Dauer ist und die Mitarbeiter wieder in ihr „altes“ Verhaltensmuster zurückfallen. Deshalb sollten, wie eingangs beschrieben, die Botschaften in wiederkehrenden Abständen erneut kommuniziert werden. Geeignete Maßnahmen sind in dieser Phase unter anderem: www.hvs-consulting.de Seite 10 von 17
  • 11. Whitepaper Security Awareness  Bildschirmschoner mit Sicherheitsbotschaften  Wissenscheck und/oder Gewinnspiel über E-Mail oder Intranetseiten  Give Aways (z.B. Zipper für Ausweishüllen)  Stichprobenartiges Re-Assessment mit Social Engineering und Phishing  Security – Video des Monats  Aktuelle Neuigkeiten (z.B. Intranet, Mitarbeiterzeitung)  Tools zur Informationsklassifizierung Tools zur Informationsklassifizierung Es gibt im Bereich der Informationssicherheit einige Themen, die trotz aller Sensibilisierungsmaßnahmen nur schwer im Alltag der Mitarbeiter verankert werden. Die Klassifizierung und Kennzeichnung von Informationen gehört definitiv dazu. Sollte das Thema „Informationsklassifizierung“ Bestandteil Ihrer Wissensvermittlung sein, empfehlen sich in der Nachhaltigkeitsphase weitere dedizierte Maßnahmen zur Festigung: Sie können Workshops zur Informationsklassifizierung in den Fachbereichen der Informationsverantwortlichen anbieten, z.B. der Personalabteilung. In diesen ca. 2 stündigen Workshops teilen die Mitarbeiter der Personalabteilung ihre wichtigsten Informationen in die Vertraulichkeitsklassen ein und diskutieren unter Anleitung des Abteilungsleiters und moderiert durch den Sicherheitsbeauftragten die unterschiedlichen Sichtweisen auf den Wert der Informationen. Diese aktive Auseinandersetzung mit Informationsklassifizierung schafft bei den Workshop Teilnehmern eine hohe Betroffenheit und Verständnis für die Anwendung der Klassen im eigenen Bereich. www.hvs-consulting.de Seite 11 von 17
  • 12. Whitepaper Security Awareness Anschließend unterstützen Sie die Mitarbeiter durch den Einsatz von Tools zur Klassifizierung und Kennzeichnung von Dokumenten und E-Mails. IS-FOX Classification ist ein Familie von Plug-Ins für die vier Hauptanwendungen von Microsoft Office: Word, Excel, PowerPoint und Outlook. Diese ermöglichen eine „geführte“ Klassifikation durch die Anwender:  Dokumente und E-Mails müssen bei der Erstellung klassifiziert werden.  Dokumente und E-Mails können entsprechend der Klasse gekennzeichnet werden (z.B. als „vertraulich“)  E-Mails können je Klasse mit bestimmten Restriktionen versehen werden (z.B. erzwungene Verschlüsselung vertraulicher Informationen). 4.4 Begleitende Kampagnenelemente Die einzelnen Maßnahmen der 3 Phasen sollten bei den Mitarbeitern als Bestandteil einer übergeordneten „Kampagne“ wahrgenommen werden. Durch diese Zuordnung werden die Botschaften besser mit dem Thema Informationssicherheit in Verbindung gebracht und entsprechend verankert. Slogan / Logo / Poster /Aufsteller Ein Logo und/oder ein Slogan ist eine ideale Maßnahme um die einzelnen Elemente der Security Awareness Kampagne zu verbinden. Beispiele: Ein solches Logo sollte als „Markenzeichen“ auf jedes Kampagnenelement aufgebracht werden z.B. auf Poster, PowerPoint Folien bei Präsenztrainings, Logo im webbasierten Training, Vor- und Abspann in den Videos, Intranet u.v.m. www.hvs-consulting.de Seite 12 von 17
  • 13. Whitepaper Security Awareness Security Awareness Poster sind ein probates Mittel, um eine Security Awareness Kampagne anzukündigen und während oder nach der Kampagne den Lernerfolg und die Sensibilisierung auf hohem Niveau zu halten. Beispiele: 5 Auswahl der geeigneten Kampagnenelemente Die vorgestellten Kampagnenelemente zeigen die Vielfältigkeit an potenziellen Maßnahmen. Kaum ein Unternehmen setzt bei der Umsetzung einer Security Awareness Kampagne alle Elemente ein. Die Auswahl der geeigneten Elemente ist abhängig  vom bestehenden Sensibilisierungsgrad im Unternehmen,  von der Unternehmenskultur und  vom Budget. Typischerweise werden die Eckpfeiler einer Kampagne in einem gemeinsamen Kick-Off Workshop definiert und mit Vertretern aus Personalabteilung und Unternehmenskommunikation weiter vertieft. www.hvs-consulting.de Seite 13 von 17
  • 14. Whitepaper Security Awareness Dennoch verlaufen 85% der Kampagnen nach einem ähnlichen, erfolgreichen und bewährtem Muster: Die einzelnen Phasen können zeitlich natürlich je Unternehmen variieren. Da eine erfolgreiche Sensibilisierung jedoch ein gemeinschaftliches interdisziplinäres Vorgehen erfordert, sollten Sie in der Vorbereitungsphase Zeit für interne Abstimmungen berücksichtigen. 6 Make or buy? Awareness Kampagnen lassen sich nur in speziellen Fällen ohne Individualisierung auf das jeweilige Unternehmen umsetzen. Ein Beispiel sind Präsenztrainings zur allgemeinen Sensibilisierung von Mitarbeitern und Führungskräften in einem mittelständischem Unternehmen. Durch die unmittelbare Interaktion erreichen Sie auch mit vorkonfektionierten Trainings einen anhaltenden Erfolg. Je größer und internationaler die Belegschaft wird und je mehr unternehmensindividuelle Themen transportiert werden sollen (z.B. Informationsklassifizierung, Umgang mit Besuchern, Einbindung externer Ressourcen in Projekte, etc.), desto umfangreicher wird die Anpassung bestehender Inhalte an Unternehmensrichtlinien und –kultur. Unabhängig vom Individualisierungsgrad birgt der Einsatz praxiserprobter Tools hohe Kosten/NutzenEffekte. www.hvs-consulting.de Seite 14 von 17
  • 15. Whitepaper Security Awareness Da alle Sensibilisierungsmaßnahmen Menschen als Zielgruppe haben, lassen sich Methoden und Prozesse standardisieren und in effiziente Awareness Tools überführen, ohne dabei auf die Anpassung an die Unternehmenskultur verzichten zu müssen. Einige Beispiele:  80% der Policy-Inhalte sind über alle Unternehmen hinweg nahezu gleich. Es ist daher wirtschaftlich sinnvoll, professionelle Inhalte für Trainings (Präsenz oder webbasiert) zu verwenden und diese in den letzten 20% auf das Unternehmen anzupassen.  Die Wirkung von Security Awareness Videos ist vielfach nachgewiesen. Die Produktion solcher Videos kostet jedoch mehrere zehntausend Euro, weshalb selbst Großkonzerne nur selten eigene Videos zur Mitarbeitersensibilisierung drehen. Für mittelständische Unternehmen sind solche Drehkosten i.d.R. im Budget gar nicht darstellbar. Der Einsatz kommerzieller Videos mit eigenem Unternehmenslogo bietet eine effiziente Alternative.  Mitarbeiter sollten in der Nachhaltigkeitsphase mit Informationen über aktuelle Bedrohungen auf dem neuesten Stand gehalten werden. Es ist allerdings sehr zeitaufwändig, kontinuierlich die aktuellen Geschehnisse zu sammeln und so aufzubereiten, dass sie jeder Mitarbeiter versteht und entsprechend handelt. Ein Aboservice mit professionell aufbereiteten Security Awareness News kann dieses Problem lösen. Ihr Nutzen: Gleiche Wirkung – geringere Kosten HvS-Consulting hat auf Basis jahrelanger Erfahrung die wirkungsvollsten Methoden und Prozesse paketiert und stellt diese als IS-FOX Security Awareness Tools zur Verfügung. Sie ermöglichen eine effiziente und wirkungsvolle Sensibilisierung und verringern signifikant die Kosten, ohne dabei die notwendige Flexibilität einzuschränken: www.hvs-consulting.de Seite 15 von 17
  • 16. Whitepaper Security Awareness Die IS-FOX Security Awareness Tools sind als einzelne Bausteine erhältlich, lassen sich in jede Kampagne einbinden und werden individuell und flexibel an die Unternehmensbedürfnisse angepasst. IS-FOX Security Awareness Tools IS-FOX Check Mit Testviren, Phishingseiten und präparierten USB-Sticks erzeugen Sie eine sehr hohe Aufmerksamkeit und messen zeitgleich die aktuelle Sensibilisierung in Ihrem Unternehmen. IS-FOX Präsenztraining Sensibilisierung mit Erfolgsgarantie. Die Mischung aus Wissensvermittlung, Live Hacking, spannenden Videos und zahlreichen Insidergeschichten garantiert seit Jahren 100% zufriedene Kunden. IS-FOX webbased Training Professionelle praxiserprobte Inhalte, Anpassung ohne Programmieraufwand, mit Übungen, Videos und integriertem Testmodul. Die kosteneffizienteste Variante Ihre Mitarbeiter zu sensibilisieren. IS-FOX Videos Hohe Identifikation durch authentische Szenen, die sich täglich auch in Ihrem Unternehmen ereignen könnten. Die Inhalte werden wirklich gelernt und in einer vergleichbaren konkreten Situation abgerufen. IS-FOX Poster Setzen Sie zusätzliche Akzente in allen Phasen der Kampagne. Poster alleine sensibilisieren nur in sehr geringem Umfang, deshalb sollten sie als begleitendes Element neben anderen Maßnahmen eingesetzt werden. IS-FOX Content Aktuelle Sicherheitsthemen im Aboservice, verständlich aufbereitet mit direkter Bezugnahme auf Unternehmensrisiken. Verschiedene Medienformate (z.B. Intranet Artikel, Videos, Präsentationen). Sehr hohe Kosteneffizienz, da interne Aufwände für Recherche und Erstellung entfallen. IS-FOX Classification Plug-Ins für Microsoft Office ermöglichen eine „geführte“ Klassifikation durch die Anwender. Dadurch wird Informationsklassifizierung ins Leben gebracht und im Arbeitsalltag verankert. Raus aus der Policy, rein in die Köpfe! Weiterführende Informationen finden Sie unter http://www.is-fox.de/ . Ob und welche Tools in einer Awareness Kampagne zum Einsatz kommen, ist abhängig von Sensibilisierungsgrad, Kultur und Budget. Für Mittelstandskunden haben wir ein bewährtes und effizientes Security Awareness Mittelstandspaket zusammengestellt: es enthält eine wirkungsvolle Kombination von Awareness Maßnahmen, speziell abgestimmt auf mittelständische Kunden. www.hvs-consulting.de Seite 16 von 17
  • 17. Whitepaper Security Awareness 7 Ihr Kontakt zu HvS-Consulting Sie haben Fragen zu Security Awareness Kampagnen? Wir sind gerne für Sie da. HvS-Consulting AG Parkring 6 85748 Garching bei München Telefon: Telefax: +49 (0)89 / 890 63 62 - 0 +49 (0)89 / 890 63 62 - 62 E-Mail: welcome@hvs-consulting.de Internet: www.hvs-consulting.de Die Kernkompetenzen der HvS-Consulting AG liegen im Bereich Information Security Management nach ISO 27001 / ITIL, Prävention von Industriespionage, individuelles Coaching von Sicherheitsverantwortlichen (CIO, CSO), Sensibilisierung von Mitarbeitern durch Security Awareness Kampagnen sowie IT-forensische Analysen. Seit vielen Jahren unterstützt HvS-Consulting erfolgreich mittelständische und große internationale Unternehmen bei der Erstellung und dem Rollout unternehmensweiter Sicherheitsrichtlinien, sowie der begleitenden Sensibilisierung der Mitarbeiter und Führungskräfte. Über die Autoren Georg Janko ist Information Security Consultant bei HvS-Consulting. Er berät Unternehmen in den Schwerpunkten Security Policies, Konzeption und Umsetzung von Security Awareness Kampagnen, sowie Informationsklassifizierung. Frank von Stetten ist Gründer und Vorstand der HvS-Consulting AG. Er berät Unternehmen bei Security Awareness Kampagnen und verantwortet die IS-FOX Security Awareness Produkte. www.hvs-consulting.de Seite 17 von 17

×