Security Awareness Trainings
Ein klares Bild zeichnen
Fortsetzung des Artikels von Teil 1
Alle Fachbegriffe definieren
Dazu könnten Begriffe wie Phishing, Spear-Phishing, Smishing, Vishing, URL usw. gehören. Sie sollten in der Richtlinie förmlich beschrieben werden, um sicherzustellen, dass alle Leser ein gemeinsames Verständnis von ihnen haben. Es sollte niemals davon ausgegangen werden, dass jeder Teilnehmer alle Begriffe versteht.
Intern versus extern
Ein gutes SAT-Programm ist für jede Organisation nur schwer mit internen Ressourcen zu entwickeln und durchzuführen. Aber selbst wenn ein externer Anbieter eingesetzt wird, werden ein oder mehrere interne Teilnehmer für das SAT-Programm verantwortlich sein. Daher muss entschieden werden, ob das SAT-Programm in der Verantwortung eines einzelnen, vollständig engagierten Teilnehmers oder mehrerer Teilnehmer liegt, in der Teilzeitverantwortung eines oder mehrerer Teilnehmer oder ob es an einen Anbieter ausgelagert wird, der das SAT-Programm im Namen der Organisation verwaltet. Sicherlich ist ein engagierter Teilnehmer oder ein ausgelagerter Anbieter, der sich auf das SAT-Programm konzentrieren kann, besser als eine Teilzeitressource, obwohl die Größe und die Ressourcen der Organisation ein Hindernis für die Bereitstellung engagierter Ressourcen darstellen können. Viele kleinere Unternehmen lagern ihre SAT-Programme an andere Anbieter aus, und viele SAT-Unternehmen bieten die Verwaltung des Programms als eine Option an.
Besonderheiten des Trainings
In der SAT-Programmrichtlinie sollten die Arten von Schulungen, die Schulungsinhalte, die Häufigkeit und die Art der Durchführung von Schulungsübungen festgelegt werden. In einer SAT-Richtlinie muss beispielsweise angegeben werden, ob die Schulungen persönlich, aus der Ferne, unter Verwendung von voraufgezeichneten Videos, gedruckten und/oder elektronischen Postern und Newslettern, formellen Präsentationen, informellen „Lunch-n-Learn“-Veranstaltungen, Spielen, Quizspielen usw. durchgeführt werden. Es sollte auch dokumentiert werden, ob simuliertes Phishing als Teil der Schulung verwendet wird oder ob das außerhalb des Rahmens liegt. Die Häufigkeit und der Zeitpunkt von Standard-SAT-Schulungen sollten ebenfalls dokumentiert werden.
Erwartungen, Konsequenzen und Anreize
Schließlich sollte die Richtlinie darlegen, was von den Mitarbeitern erwartet wird und was sie nach Abschluss der Schulung erwarten können. So sollte beispielsweise festgelegt werden, dass von den Teilnehmern erwartet wird, dass sie alle erforderlichen Schulungen rechtzeitig absolvieren. Zudem sollte die Erwartung formuliert werden, dass sowohl die Schulungen als auch die Reaktion auf simulierte Phishing-Tests durchgeführt werden. Die Mitarbeiter können darauf hingewiesen werden, dass sie ihre Interaktion mit einer simulierten oder echten Phishing-Kampagne aktiv dem Helpdesk oder der IT-Sicherheitsabteilung melden sollten und dass eine verspätete Meldung (bevor sie von anderen entdeckt wird) keine Strafen nach sich zieht. Unternehmen sollten eine Kultur schaffen, in der die Meldung von Phishing-Verdachtsfällen immer erwünscht ist, auch wenn sie zu spät erfolgt.
Es sollte in Erwägung gezogen werden, dass jeder Mitarbeiter, der seine Anmeldedaten eingibt (selbst bei einem simulierten Phishing-Test), aufgefordert wird, seine Passwörter sofort zu ändern. Diese Maßnahme beruht auf der vorsichtigen Schlussfolgerung, dass der Mitarbeiter, wenn er seine Anmeldedaten für eine simulierte Phishing-Kampagne eingegeben hat, dies auch für eine echte Phishing-Kampagne getan haben könnte.
Ebenso wichtig ist es, dass die Konsequenzen, die sich aus der Teilnahme an Aufklärungs- und simulierten Phishing-Kampagnen ergeben, in der Richtlinie dokumentiert werden. Wann immer möglich, ist eine positive Verstärkung den negativen Konsequenzen vorzuziehen. Alle Organisationen müssen jedoch dokumentieren, was ein Teilnehmer zu erwarten hat, wenn er die vorgeschriebenen Schulungen nicht rechtzeitig absolviert, bei den Schulungstests oder bei einer oder mehreren simulierten Phishing-Simulationen versagt. Unternehmen sollten beispielsweise angeben, dass jeder erfolgreiche Bericht über ein echtes oder simuliertes Phishing-Ereignis zu einer positiven Nachricht an den Teilnehmer führt – oder wenn die gesamte Abteilung eine zufriedenstellende Schulung absolviert, könnte sie beispielsweise ein Mittagessen für das Unternehmen erhalten.
Wenn Unternehmen sich zunächst ein klares Bild davon machen, wie ein Schulungsprogramm für das Sicherheitsbewusstsein aussehen sollte, sind sie in der Lage, ein wirksames Programm zu erstellen, das von den Mitarbeitern verstanden wird. Durch die Definition von Zielen und des Umfangs der Richtlinie sowie die Festlegung von Erwartungen und die Unterstützung durch die Geschäftsleitung können Unternehmen die Bedrohungen durch Social Engineering und Phishing für ihr Unternehmen reduzieren.
- Ein klares Bild zeichnen
- Alle Fachbegriffe definieren
Lesen Sie mehr zum Thema
