Security-Schulungen
Die Macht der Security Awareness Ambassadors
Wenn die Security Awareness-Programme einen hohen Reifegrad erreicht haben, stellt sich für die jeweiligen Verantwortlichen eines Unternehmens immer mehr die Frage, wie es weitergehen soll. Was kommt nach der Einführung von interaktiven Online-Schulungen, Phishing-Assessments und Vorträgen?
Die kurze Antwort lautet: Security Awareness Ambassadors. Immer mehr Unternehmen gehen dazu über, an ihre verhaltensorientierten Kampagnen neue Programme anzuschließen, bei denen Mitarbeiter zu Sicherheitsbotschaftern trainiert werden. Die ausgewählten Mitarbeiter sind Freiwillige, die in ihrem Unternehmen ehrenamtlich zwei bis vier Stunden im Monat helfen, die Botschaften der Security Awareness-Programme zu verankern. Die Umsetzung dieser Idee ist einfacher als man denkt und hat einige enorme Vorteile:
- Skalierung: Statt einer einzigen Person, die global eine Botschaft kommuniziert, stehen zahlreiche Security Awareness-Beauftragte im gesamten Unternehmen zur Verfügung, die vor Ort bekannt und mit den konkreten Umständen vertraut sind.
- Engagement: Die Security Awareness Ambassadors verstehen die Herausforderungen und Kulturen der lokalen Niederlassungen, für die sie verantwortlich sind, oft am besten. Infolgedessen sind sie viel effektiver darin, das Engagement ihrer Kollegen zu steigern, als es ein zentraler Security Awareness Officer vermag. Dies gilt insbesondere für diverse und globale Organisationen, die ihre zahlreichen Außenstellen überall in der Welt haben und sehr unterschiedliche Kulturen oder auch Generationen vereinen.
- Geringe Kosten: Die finanziellen Kosten sind minimal und der größte Aufwand ist die investierte Zeit der Mitarbeiter. Der zentrale Verantwortliche muss hauptsächlich die verschiedenen Botschafter koordinieren.
- Informationen: In vielerlei Hinsicht schafft das Unternehmen durch diese Programme ein eigenes Kommunikationsnetz. Nicht nur, dass die Botschafter Informationen verbreiten, die für die Security Awareness entscheidend sind, sondern sie sammeln auch Informationen. Diese Erkenntnisse umfassen beispielsweise die größten Risiken vor Ort, dringende Themen und wie sich die Security Awareness auf die jeweilige Niederlassung auswirkt.
Eine regelmäßig wiederkehrende Frage ist, wie ein Unternehmen ein solches Programm umsetzen kann und der Schlüssel zum Aufbau eines ausgereiften Ambassador-Programms liegt in der Motivation und dem Training der Mitarbeiter. Es gibt drei Ansätze, die gut geeignet sind, um die Mitarbeiter zu motivieren, Verantwortung im eigenen Unternehmen zu übernehmen:
- Anerkennung: Anerkennung ist das wirkungsvollste Mittel, die die Verantwortlichen für die Cybersicherheit haben, um ihre Mitarbeiter zu motivieren. Beispielsweise könnten den Botschaftern Zertifikate verliehen werden, auch ein jährliches Mittagessen für alle Botschafter mit dem CEO oder auch die Übergabe eines T-Shirts oder einer Kaffeetasse, die nur für Botschafter gebrandmarkt ist, sind einfache Möglichkeiten, die Anerkennung gegenüber den Freiwilligen auszudrücken. Auch eine E-Mail an die verantwortlichen Vorgesetzten oder an die Personalabteilung, mit einem Lob für die gute Arbeit, die sie leisten, ist schnell geschrieben und wird die Mitarbeiter ausgezeichnet motivieren.
- Networking: Die Botschafter werden ihr Netzwerk mit Kollegen aus dem Unternehmen erweitern, die sie normalerweise nie treffen würden. Dieser Vorteil sollte ihnen als eine Möglichkeit vermittelt werden, neue Kontakte im Unternehmen zu knüpfen, um ihre Karriere voranzutreiben.
- Fertigkeiten: Wer möchte nicht, dass Cybersicherheit in seinem Lebenslauf steht? Botschafter entwickeln nicht nur neue Fähigkeiten weiter, sondern auch die Unternehmen können das Programm nutzen, um intern nach neuen Cybersicherheitskräften zu suchen und sie weiterzubilden.
Wenn die Motivation stimmt, müssen die Botschafter mit den Fähigkeiten und Ressourcen ausgestattet werden, die sie für ihren Erfolg benötigen. Diese lassen sich mit geringem Aufwand bereitstellen und lassen sich in drei wesentliche Gruppen einteilen:
- Training: Die Botschafter müssen natürlich trainiert werden. Die Kanäle dafür sind vielfältig und informelle, monatliche Webcasts können ebenso wirkungsvoll wie formelle, ganztägige Kurse sein. Umso besser die vorgesehene Schulung ist, umso mehr Wirkung können die Botschafter entfalten.
- Ressourcen: Natürlich sollte den Botschaftern das notwendige Material zur Verfügung gestellt werden, wie beispielsweise ein FAQ PowerPoint-Präsentationen, Poster oder Infografiken für die wichtigsten Themen, die sie abdecken sollen. Dabei sollten die Verantwortlichen bei den Themen anfangen, die ihre Botschafter selbst interessieren und darauf langsam aufbauen.
- Forum: Eine sinnvolle Ergänzung in den meisten Unternehmen ist ein Online-Forum für die Botschafter, in dem sie ihre Erfahrungen und Ideen austauschen können. Die Erfahrung zeigt, dass sie im Laufe der Zeit eigene Vorschläge einbringen und beginnen werden, das Programm selbstständig zu leiten.
Fazit
Security Awareness Ambassador-Programme sind ein wirkungsvoller und bewährter Weg, um die üblichen Security Awareness-Programme zu ergänzen und über Verhaltensänderungen hinauszugehen. Ziel dieser Programme ist, die Kultur im eigenen Unternehmen nachhaltig zu verändern und Security Awareness fest bei den Mitarbeitern zu verankern. Wichtige Unternehmen und Marktführer wie Salesforce, Dropbox, Thomson Reuters, Diageo, Honeywell und Adobe sind in diesem Bereich führend und zeigen, dass die Programme die Cybersicherheit nachhaltig verbessern und daher eine sinnvolle Ergänzung sind.
Lance Spitzner ist Leiter des Security-Awareness Programms des SANS Institutes
Lesen Sie mehr zum Thema
