#ISC2Events: Der Leitfaden eines Datenschutzbeauftragten für die Durchführung eines Programms zur Sensibilisierung für Cybersicherheit

  • Auf dem (ISC)2 Secure London Event hielt Laurie-Anne Bourdain, Datenschutzbeauftragte des belgischen Fintech-Unternehmens Isabel Group, heute einen Vortrag über die Planung und Durchführung eines erfolgreichen Cybersecurity-Awareness-Programms.

    Bourdain riet, dass die Erstellung einer Roadmap ein wesentlicher erster Schritt bei der Entwicklung eines guten Awareness-Programms ist. Die Roadmap erfordert ein Verständnis der Bedrohungslandschaft Ihres Unternehmens, d. h. Sie müssen Ihre Schwachstellen kennen, wissen, wer Ihre Bedrohungsakteure sind und mit welchen Bedrohungsvektoren Sie es zu tun haben. „Dieses Wissen wird Ihnen helfen, Ihre Prioritäten auf der Grundlage Ihrer Risiken zu setzen. Aufgrund von Budget- und Zeitbeschränkungen müssen Sie Ihre Risiken bewerten und priorisieren, aber Sie müssen dies auch mit Ihrer eigenen Risikobereitschaft in Einklang bringen – überlegen Sie, wie viel Risiko Sie sich leisten können“, rät sie.

    Der nächste Schritt in der Roadmap“, so Bourdain weiter, „besteht darin, herauszufinden, was Ihre Ziele lernen sollen. Dann müssen Sie sich überlegen, welche Ressourcen Sie haben. Denken Sie über Ihre Kommunikationskanäle nach.“ So seien beispielsweise gedruckte Plakate nach wie vor eine wirksame Kommunikationsmethode, sagte sie.

    „Der beängstigende Teil Ihrer Roadmap ist die Umsetzung“, sagte Bourdain, „denn Sie könnten scheitern.“ Sie schätzt sich glücklich, dass sie den Luxus hat, ein Fünftel ihrer Zeit für Sensibilisierung und Schulung aufwenden zu können, „aber ich würde mir wünschen, dass es noch mehr wäre“, meinte sie.

    Bei der Entwicklung von Sensibilisierungsprogrammen gehe es vor allem darum, Lücken zu schließen, argumentierte sie. „Dazu gehören die Wissenslücke, die Qualifikationslücke und die Motivationslücke“. Letzteres ist ihrer Meinung nach die größte Herausforderung. „Es ist schwierig, wenn Menschen zwar wissen, wie man etwas macht, es aber nicht wollen und es ihnen egal ist. Man muss ihnen erklären, warum es für sie persönlich wichtig ist, und die Motivation durch Anreize oder Belohnungen unterstützen – das wird ihnen helfen, ihr Verhalten beizubehalten.“

    Die letzte Lücke, auf die Bourdain hinwies, ist die unbestreitbare Kommunikationslücke. „IT ist nicht die Hauptsprache der meisten Menschen in einer Organisation, also achten Sie darauf, dass Sie keine technische oder juristische Sprache verwenden“, riet sie. „Verwenden Sie eine Sprache, die von jedem einzelnen Mitglied Ihrer Organisation leicht verstanden wird, und passen Sie sich an die verschiedenen Lernenden an.“ Wenn Sie sich in die Lage der Neulinge in Ihrem Unternehmen versetzen, können Sie Ihre Sprache und Kommunikation richtig einstellen, sagte sie. „Versuchen Sie, sich daran zu erinnern, wie es war, nichts zu wissen. Setzen Sie kein Wissen voraus.“

    Sie betonte die Bedeutung von positiver Verstärkung und merkte an, dass diese in Form von Anerkennung und Auszeichnungen erfolgen kann und nicht unbedingt finanziell sein muss. „Weitere Tipps sind Gamification, das Spielen mit den Emotionen der Menschen und die Nutzung der Macht der Momente“, sagte sie und nannte als Beispiel die Sensibilisierung während der Log4j-Krise. „Nutzen Sie soziales Engagement. Je mehr Menschen sichtbar etwas tun, desto mehr fühlen sich andere ermutigt, das Gleiche zu tun“, fügte sie hinzu.

    Ihr wichtigster Ratschlag ist jedoch die Wiederholung. „Bewusstsein braucht Wiederholung, auch wenn es sich kontraproduktiv anfühlt. Ja, Sie haben es ihnen schon letztes Jahr gesagt, aber es wird vergessen worden sein, also sagen Sie es ihnen noch einmal.

    Abschließend wies Bourdain auf die Bedeutung von drei Zutaten für ein erfolgreiches Programm zur Sensibilisierung für Cybersicherheit hin: Unterstützung durch das Management: „Um Sichtbarkeit zu schaffen, braucht man die Unterstützung des Managements. Machen Sie ihnen klar, was für sie dabei herausspringt, und gewinnen Sie ihre Unterstützung.“ Metriken bereitstellen: „Bieten Sie gute Messgrößen an. Daten darüber, wie viele Personen die Schulung rechtzeitig abgeschlossen haben, sind eine schlechte Kennzahl. Die Anzahl der Personen, die Phishing gemeldet haben, im Vergleich zum letzten Jahr, ist jedoch eine gute Kennzahl. Berichten Sie zurück: „Erklären Sie der Geschäftsleitung, warum Ihr Sensibilisierungsprogramm funktioniert, und sagen Sie ihnen, warum Sie für das nächste Jahr mehr Budget – und mehr Zeit – benötigen.“

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com