Sensibilisieren und Weiterbilden

Security auf Stundenplan für Mitarbeiter setzen

05. Mai 2008
Von Alexander Galdy
Beim Thema IT-Sicherheit gehören Sensibilisierung und Weiterbildung der Mitarbeiter immer noch zu den Top-Herausforderungen. Zu diesem Schluss kommen die Analysten der Experton Group in Deutschland. Gezielte Security Awareness-Programme werden bisher allerdings nur bei großen Unternehmen aufgesetzt.

Aber auch dort kommen solche Programme in der Regel nur zustande, wenn es im Betrieb zum Beispiel einen Chief Information Officer (CISO) gibt, der das Vorhaben initiiert und vorantreibt. Am sinnvollsten ist es laut Berater, wenn das SecuritySecurity Awareness-Programm dann auch in ein übergeordnetes Information Security Management System (ISMS) eingebettet wird. Alles zu Security auf CIO.de

Eine Vielzahl von Sicherheitsproblemen ist heute direkt oder indirekt auf die Mitarbeiter des eigenen Unternehmens zurückzuführen. Weltweite Statistiken belegen, dass zahlreiche Fälle durch unbewusstes oder bewusstes Vorgehen von noch beschäftigten und ehemaligen Mitarbeitern passieren.

Grundsätzlich geht es bei einem Security Awareness-Programm um die Sensibilisierung von Mitarbeitern zu Themen wie Security Policies und Richtlinien, Bedrohungen und Risiken oder die Einhaltung von Regularien. CISOs sollten das Programm auch dazu nutzen, um die Information Security-Strategie gegenüber dem Management zu kommunizieren und um dort Unterstützung zu gewinnen.

Interaktive Awareness-Maßnahmen

In der Praxis hat sich laut Experton Group gezeigt, dass interaktive Maßnahmen zur Erhöhung des Sicherheitsbewusstseins erfolgreicher sind als eine Einbahnstraßen-Kommunikation. Interaktive Awareness-Maßnahmen sind etwa Präsenz-Training, Einführungs-Training für neue Mitarbeiter, Computer-basiertes Training (CBT) oder ein Quiz. Aber auch weniger aufwändige Maßnahmen wie Newsletter, Intranet, Poster und Giveaways unterstützen das Programm.

Zur Startseite