Hallo allerseits, mein Name ist Alexander Dvoryansky, ich arbeite seit mehr als fünf Jahren als kaufmännischer Leiter bei Infosecurity und möchte heute mit Ihnen über die Grundprinzipien der Arbeit mit vertraulichen Informationen sprechen.
Zu einer Zeit führte der kanadische Psychologe Elliot Jacks das Konzept der "Unternehmenskultur" ein. Ich erlaube mir, den Begriff digitale Hygiene zu verwenden. Dies ist der Teil der Unternehmenskultur, der bestimmt, welche Maßnahmen Mitarbeiter ergreifen und wie sie die Informationssicherheit eines Unternehmens beeinflussen.
Ich werde mich ein wenig auf unsere Branche konzentrieren, damit Sie verstehen, warum ich an diesem Thema interessiert bin. Infosecurity bietet Dienstleistungen im Bereich Informationssicherheit, Systemintegration und Beratung an. Es ist uns wichtig zu zeigen, dass wir nicht nur die Daten schützen können, denen Kunden uns vertrauen, sondern auch unsere eigenen Informationsressourcen. Selbst ein kleiner IS-Vorfall bei einem Cybersicherheitsunternehmen kann seinen Ruf beeinträchtigen. Und nach einem solchen Schlag aufzustehen ist nicht einfach.
Die Bildung der digitalen Hygiene in einem Unternehmen wird also beeinflusst von:
- Bewusstsein für Informationssicherheit
- Differenzierung des Zugangs zu Informationen
- Verwendung technischer Kontroll- und Überwachungsmittel
Heute werde ich näher auf den ersten dieser drei Wale eingehen - die Sensibilisierung oder, wie es jetzt in Mode ist, Avarnes.
Warum ist das überhaupt notwendig?
In jedem Unternehmen mit Selbstachtung gibt es interne Vorschriften, Richtlinien und Methoden, die den Regeln für die Verarbeitung von Informationen mit eingeschränktem Zugriff gewidmet sind. Leider gibt das bloße Vorhandensein dieser Dokumente absolut nichts. Einen echten Schutz bieten Mitarbeiter, die die in den Dokumenten festgelegten Anforderungen strikt einhalten. Aber wo finden Sie solche idealen Mitarbeiter?
Der Trick ist, dass Sie nicht nach ihnen suchen müssen, sondern sie beispielsweise anbauen müssen. Mit einer Reihe von Schulungsveranstaltungen und -materialien können Sie eine Kultur der Arbeit mit Informationen im Unternehmen schaffen. Wenn alles richtig ausgewählt ist, beginnen die Mitarbeiter, die IS-Regeln auf Reflexebene einzuhalten - und Sie müssen nicht mehr darauf achten, dass einer von ihnen den Computerbildschirm nicht blockiert, den Token verliert oder den vierteljährlichen Bericht in der Druckerablage vergisst.
Wie wählt man alles aus?
Teilen Sie Ihre Mitarbeiter zunächst in Gruppen ein und identifizieren Sie Themen, die für jede Gruppe relevant sind. Es ist unwahrscheinlich, dass Top-Manager daran interessiert sind, aktuelle Software-Schwachstellen zu untersuchen, aber für Entwickler - sehr.
Denken Sie bei der Definition der Themen an die Formate der Schulungsunterlagen: Sie müssen auch personalisiert werden. Beispielsweise haben Front-Office-Mitarbeiter nicht viel Freizeit und manchmal keinen Personal Computer. Helle Poster und kurze Videos, die in Handelsräumen platziert und demonstriert werden können, passen zu ihnen. Und Backoffice-Mitarbeiter können der Schulung mehr Aufmerksamkeit schenken. Es ist daher besser, sie mit E-Kursen und Schulungsmailings anzusprechen.
Eine weitere bewährte Methode besteht darin, zu überprüfen, ob Ihre Mitarbeiter dies bereits wissen, bevor Sie IS-Schulungen durchführen. Der einfachste Weg, dies zu tun, besteht darin, Phishing-E-Mails für Schulungen zu testen und zu senden. Dies hilft Ihnen zu verstehen, welche Themen mehr Aufmerksamkeit benötigen. Vergessen Sie natürlich nicht, die Effektivität im Lernprozess und danach zu überwachen.
Kann ich mir die Formate genauer ansehen?
Beginnen wir mit dem guten alten Vollzeitstudium. In gewisser Weise ist es unersetzlich: Jeder weiß, dass Informationen in Live-Kommunikation viel besser wahrgenommen werden. Das Training kann in klassischer Form oder nach einer Fallmethode durchgeführt werden. Im zweiten Fall teilt der Ausbilder die Schüler in Gruppen ein, beschreibt das für das Unternehmen relevante Problem und fordert jede Gruppe auf, ihre eigene Version ihrer Lösung anzugeben und zu begründen. Zwei Arten von Schulungen können kombiniert werden: Durchführung einer Einführungssitzung für Mitarbeiter am ersten Arbeitstag und Fallschulung - monatlich oder einmal pro Quartal.
Fernunterricht ist ein würdiger Wettbewerb für Vollzeitkräfte und wird in Zukunft höchstwahrscheinlich die Decke vollständig über sich ziehen. Elektronische Kurse, Videos, Mailinglisten und Online-Spiele sind gut, da Mitarbeiter sie zu einem für sie geeigneten Zeitpunkt auf verschiedenen Gerätetypen anzeigen können. Und sie bieten den Wettbewerbern auch die Möglichkeit, sich mit den Worten "Gamification" und "Micro-Learning" zu rühmen.
Die Abbildung zeigt die Folien aus den elektronischen Kursen unseres UnternehmensGamification wird besonders aktiv in elektronischen Kursen eingesetzt. Es beinhaltet das Hinzufügen von Spielelementen: Auszeichnungen und Erfolge, die schrittweise Komplikation von Aufgaben, eine faszinierende Geschichte, Charaktere. Gamification ist im Allgemeinen eine interessante Geschichte, da es vollständig elektronisch sein oder in das wirkliche Leben "fließen" kann. Für den erfolgreichen Abschluss von Kursen zur Informationssicherheit kann ein Mitarbeiter beispielsweise einen zusätzlichen Urlaubstag erhalten. Solche Dinge stimmen natürlich mit der Personalabteilung überein. Wer von uns hat bei der Arbeit nicht von Computerspielen geträumt?
Mikroedukation beinhaltet den Materialfluss in kleinen Blöcken und das Fixieren jedes Blocks mit praktischen Aufgaben. Zum Beispiel habe ich mir 5 Folien eines Kurses angesehen - beantworte eine Testfrage oder führe eine kleine Übung durch. Wenn wir über Videos sprechen, sollten sie nicht länger als eineinhalb Minuten sein. Es ist besser, eine Reihe von kurzen Videos zu machen (sie können übrigens mit einer lustigen Handlung kombiniert werden), als einen Mitarbeiter zu zwingen, eine schwere siebenminütige Predigt zu sehen. Es lohnt sich jedoch nicht, das Lernen auf unbestimmte Zeit aufzuteilen: Auf diese Weise können Sie die Logik der Erzählung verlieren.
Im Bild - Screenshots aus unseren VideosNeben Vollzeit- und Fernunterricht sind zusätzliche Schulungsmaterialien sehr nützlich. Memos, Poster, Aufkleber und Bildschirmschoner leisten hervorragende Arbeit, um das Lernen vielfältig und unvergesslich zu machen. Haben Sie keine Angst, professionelle Designer und Illustratoren in ihr Design einzubeziehen: Materialien werden nur davon profitieren.
Im Bild - Screenshots aus dem Flash-Spiel Phishing BattleGeht es also nur um Vielfalt?
Es ist unmöglich, einen Menschen zu zwingen, das zu lernen, was für ihn nicht interessant ist, und das zu beobachten, was für ihn unverständlich ist. Indem Sie umfassende Schulungsprogramme für Mitarbeiter erstellen, das Material in einer einfachen und zugänglichen Sprache darstellen und in eine Spielform einbinden, tragen Sie tatsächlich zur Sicherheit von Ihnen, Ihrem Unternehmen und Ihren Kunden bei. Und wenn alles „nach wissenschaftlichen Erkenntnissen“ gemacht wird, werden sich Ihre Investitionen sicherlich auszahlen.
Alexander Dvoryansky, kaufmännischer Leiter von Infosecurity, einem Softline-Unternehmen