17
Sicherheit verstehen und leben! Erfolgreiche Sensibilisierung von Mitarbeitern und Führungskräften. Whitepaper Georg Janko und Frank v. Stetten HvS-Consulting AG, 2012
| Date post: | 05-Dec-2014 |
| Category: |
Business |
| Upload: | frank-von-stetten |
| View: | 571 times |
| Download: | 3 times |
Sicherheit verstehen und leben! Erfolgreiche Sensibilisierung von Mitarbeitern und Führungskräften.
Whitepaper
Georg Janko und Frank v. Stetten HvS-Consulting AG, 2012
www.hvs-consulting.de Seite 2 von 17
Whitepaper Security Awareness
Inhalt
1 Die Herausforderung 2
2 Die Lösung 3
3 Der psychologische Aspekt 4
4 Security Awareness Kampagnen 5
4.1 Phase 1 „Wach rütteln“ 6
4.2 Phase 2 „Wissen vermitteln“ 8
4.3 Phase 3 „Nachhaltigkeit“ 10
4.4 Begleitende Kampagnenelemente 12
5 Auswahl der geeigneten Kampagnenelemente 13
6 Make or buy? 14
7 Ihr Kontakt zu HvS-Consulting 17
1 Die Herausforderung Privatwirtschaftliche Unternehmen und Behörden haben jahrelang die Sicherheit ihrer Computersysteme und Netzwerke verbessert. Gut konfigurierte Firewalls, Virenscanner und Intrusion Detection Systeme erschweren Computerkriminellen und Spionen deutlich Ihr Handwerk. Aus diesem Grund haben die Angreifer ihren Fokus in den letzten Jahren immer mehr auf ein neues, vermeintlich einfacheres Angriffsziel verändert: den Mitarbeiter. Mittlerweile gilt „der Mensch“ als das schwächste Glied in der unternehmensweiten Sicherheitskette. Moderne Industriespione versuchen z.B. nicht mehr primär, Computersysteme zu hacken, sondern Sie erschleichen sich von Mitarbeitern Benutzer-name und Passwort und erhalten somit „legitimierten“ Zugriff auf kritische Systeme.
www.hvs-consulting.de Seite 3 von 17
Whitepaper Security Awareness
Das Eindringen in ein Unternehmen durch List und Manipulation bezeichnet man als Social Engineering. Der Angreifer hat das Ziel, sich das Vertrauen der Mitarbeiter zu erschleichen und dann zu missbrauchen, um so schrittweise über mehrere Phasen an Geheimnisse und Interna zu gelangen bzw. die Opfer zu manipulieren. Das größte Sicherheitsrisiko großer Unternehmen als auch individueller Internetnutzer wird für die kom-menden 10 Jahre die immer stärker werdende Nutzung von Social Engineering um die Schutzmauern der IT zu durchbrechen.
Rich Mogull, Research Director Gartner, 2006
2 Die Lösung Die einzig effektive Antwort auf diese neue und weiter zunehmende Bedrohung lautet: Sensibilisierung der Mitarbeiter und des Managements zum Thema Informationssicherheit, d.h. die Schaffung eines Sicher-heitsbewusstseins (engl. Security Awareness) als Bestandteil der Unternehmenskultur. Hierzu bedarf es einer bewussten Verhaltensänderung der Mitarbeiter in sicherheitsrelevanten Situatio-nen, zum Beispiel:
Den PC sperren, auch wenn man nur kurz den Arbeitsplatz verlässt.
Vertrauliche Unterlagen wegsperren.
Unbekannte Personen im Gebäude ansprechen.
Niemandem sein Passwort weitergeben.
Etc.
www.hvs-consulting.de Seite 4 von 17
Whitepaper Security Awareness
3 Der psychologische Aspekt Da menschliches Verhalten prinzipiell durch die individuelle Einstellung des Einzelnen gegenüber einem Thema beeinflusst wird, wird sich das Verhalten im Bereich Sicherheit nur ändern, wenn sich die Einstellung zum Bereich Sicherheit ändert.
Die Einstellung gegenüber dem Thema Sicherheit festigt sich im Menschen auf zwei Ebenen:
Der kognitiven Ebene: Das „Wissen“ um die Sache, also die Kenntnis über potenzielle Gefahren und entsprechende Richtlinien im Unternehmen.
Der emotionalen Ebene: Sympathie (Sicherheit als positiv assoziiertes Gefühl) oder Antipathie (Si-cherheit assoziiert als lästige Vorschriften, die den persönlichen Handlungsspielraum einschrän-ken).
Die reine Kenntnis der Sicherheitsrichtlinien wird nicht in einer Verhaltensänderung münden, solange dafür kein Verständnis erzeugt wird und dieses Verhalten nicht als „positiv“ wahrgenommen wird. Die Formel für eine erfolgreiche Verhaltensänderung im Bereich der Informationssicherheit lautet daher: Motivieren
Bei allen Mitarbeitern eine positive Einstellung zum Thema Sicherheit erzeugen.
Durch Aufzeigen der Gefahrenpotenziale und transparente Erläuterung Verständnis für getroffene Sicherheitsmaßnahmen und Richtlinien wecken (Sicherheit ist erforderlich und nützlich, nicht läs-tig).
und Informieren
Ansprechpartner zum Thema Sicherheit bekannt geben.
Die aktuelle Umsetzung der Sicherheitsmaßnahmen und Richtlinien erläutern.
www.hvs-consulting.de Seite 5 von 17
Whitepaper Security Awareness
Die Sensibilisierung der Mitarbeiter zum Thema Informationssicherheit ist ein kontinuierlicher Prozess. Menschen vergessen Dinge schnell, wenn Sie nicht regelmäßig damit konfrontiert werden. Kurzfristige, massive Maßnahmen können zwar in sehr kurzer Zeit eine hohe Bekanntheitsrate erreichen, werden aber genauso schnell wieder vergessen und sind daher zur Verhaltensänderung ungeeignet. Deshalb sollten die Maßnah-men über einen längeren Zeitraum geplant und umgesetzt werden.
4 Security Awareness Kampagnen Eine Security Awareness Kampagne hat das Ziel, alle Mitarbeiter im Unternehmen zum Thema Informati-onssicherheit zu informieren und zu motivieren. Das vermittelte Wissen soll in Verbindung mit einer positiven Einstellung zum Thema Sicherheit zu einer dauerhaften Verhaltensänderung der Mitarbeiter führen und somit die Sicherheit des Unternehmens signifikant steigern. HvS Security Awareness Kampagnen basieren auf den Erkenntnissen moderner Markt- und Werbepsycho-logie und lassen sich in der Regel in folgende 3 Phasen einteilen:
www.hvs-consulting.de Seite 6 von 17
Whitepaper Security Awareness
4.1 Phase 1 „Wach rütteln“ Der Kampagnenstart soll Aufmerksamkeit bei den Mitarbeitern erzeugen. Dies kann über verschiedene Wege erfolgen: Security Assessment mit Social Engineering
Im Rahmen eines Social Engineering Assessments wird ein sehr realistisch simulierter Industriespionage-Angriff auf ausgewählte und abgestimmte Bereiche Ihres Unternehmens durchgeführt. Dabei wird versucht, auf Grund mangelnden Sicher-heitsbewusstseins der Mitarbeiter, Administratoren oder des Wach- & Putzdienstes Zugriff auf vertrauliche Daten zuzugreifen bzw. diese zu manipulieren oder eine mögliche Sabotage von Betriebseinrichtungen zu dokumentieren. Ein Social Engineering Assessment erfolgt in der Regel in 3 Stufen:
1. Legaler und illegaler Zutritt zum Unternehmen mit Analyse der Wirksamkeit der physischen Infra-struktur und des Wachdienstes.
2. Angriff auf die Mitarbeiter mit Social Engineering Techniken, um vertrauliche Informationen (z.B. Username und Passwort) zu erlangen.
3. Dokumentation des Zugriffes auf geschäftskritische Systeme und des Diebstahles von Hardware und vertraulichen Informationen (z.B. Dokumente, CDs, etc.)
Typische Ziele eines Angriffes sind z.B. Zugriff auf Personaldaten, Buchhaltungsdaten, Businesspläne, Strategien, Vorstandsdaten, Entwicklungsdaten. Der Angriff erfolgt hoch professionell in enger Abstimmung mit dem Kunden. Ein Social Engineering Assessment liefert als Ergebnis den "Status Quo" der Unternehmenssicherheit und des Sensibilisierungsgrades der Mitarbeiter / des Managements im Bereich Sicherheit. Dieser Status Quo ist eine exzellente Grundlage für
a) die Sensibilisierung, da die Maßnahmen punktgenau auf die entdeckten Schwachstellen abgestimmt werden können, und
b) die Messbarkeit von Verhaltensänderung bei nachfolgenden Assessments. Erfahrungsgemäß erzeugt die Ergebnispräsentation im Management eine außergewöhnlich hohe Aufmerk-samkeit, weil nicht darüber gesprochen wird „was passieren könnte“ sondern „das ist bei uns passiert“. Wichtiger Hinweis: Da der Dienstleister im Erfolgsfall auf sehr sensitive Daten Zugriff erhält, sollte ein solcher Angriff nur durch Unternehmen mit hoher Reputation und zahlreichen nachweisbaren Referenzen durchgeführt werden.
www.hvs-consulting.de Seite 7 von 17
Whitepaper Security Awareness
Virus/Phishing-Attacke
Eine „freche“ Variante zum Wachrütteln aller Mitarbeiter ist der Versand eines „Testvirus“. Diese erhalten z.B. eine E-Mail von einem unbekannten Absender mit einem Anhang, den sensibilisierte Mitarbeiter eigentlich nicht öffnen sollten. Fehlendes Sicherheitsbewusstsein in Verbindung mit menschlicher Neugier veranlasst dennoch viele Mitar-beiter, den Anhang zu öffnen. Nach dem Öffnen wird ein Virenbefall simuliert (z.B. mittels eines schwarzen Bildschirms und der Meldung, dass alle Daten gelöscht werden). Nach einer kurzen „Schock“-Phase erscheint ein Auflösungsbildschirm mit der Entwarnung und dem Hinweis auf den Kampagnenstart oder die Einladung zu Sicherheits-Trainings. Virtuelle Bedrohung
Unter „virtueller Bedrohung“ verstehen wir die Schaffung eines imaginären Bösewichts, der Ihrem Unter-nehmen den Kampf ansagt. Er sendet z.B. als Auftakt eine E-Mail an die Geschäftsleitung und fordert das Unternehmen zu einem Wettkampf in Sachen Sicherheit heraus: „Mal sehen, wie gut Eure Sicherheit tatsächlich funktioniert“. Diese Kampfansage dient als Aufhänger für die darauffolgende Security Awareness Kampagne, z.B. bei Microsoft mit der Kampagne „Microsoft jagt das Phantom“. In verschiedenen Phasen der Kampagne testet „das Phantom“ durch simulierte Angriffe stichprobenartig den Sicherheitslevel der Mitarbeiter, z.B. durch Social Engineering, Phishing und Tailgaiting.
Regelmäßig informiert es die Mitarbeiter über die Ergebnisse seiner Tests. Gewinnt das Phantom, kostet es das genüsslich aus. Gewinnen die Mitarbeiter, zollt es Anerkennung und Respekt. Die Methode der „virtuellen Bedrohung“ fördert den Teamgeist und die aktive Teilnahme der Mitarbeiter an der Kampagne.
www.hvs-consulting.de Seite 8 von 17
Whitepaper Security Awareness
4.2 Phase 2 „Wissen vermitteln“ „Informieren und Motivieren“ sind die zentralen Erfolgsfaktoren einer Security Awareness Kampagne. Nachdem Phase 1 einen Motivationsschub erzeugt, fokussiert die Phase 2 auf den Know-how Transfer, gepaart mit der Vermittlung einer positiven Einstellung zum Thema Informationssicherheit. Präsenztrainings
Präsenztrainings sind das wirksamste Mittel zur Wissensvermittlung und der Schaffung von Verständnis für die Sicherheitsmaßnahmen.
Sicherheitsmaßnahmen werden durch Praxisbei-
spiele und Hintergrundinformationen verständ-lich erläutert.
Der Einsatz von Security Awareness Videos lo-ckert das Training zusätzlich auf und steigert die Motivation zur Verhaltensänderung.
Live Hacking Demos verdeutlichen anschaulich das Gefahrenpotenzial.
Präsenztrainings dauern in der Regel zwischen 1,5 und 2,5 Stunden und werden idealerweise in einer Kombination aus externer Referent und Sicherheitsbeauftragter Ihres Unternehmens durchgeführt. Der externe Referent zeigt an Hand der Videos und Live Hacking Demos sehr anschaulich das Gefahrenpotenzial auf (Bad Boy), der Sicherheitsbeauftragte erläutert die Schutzmaßnahmen und Richtlinien, um dieser Bedrohung zu begegnen (Good Boy). Die verschiedenen Sprecher, Medien und Demos schaffen eine extrem hohe Aufmerksamkeit und Lernerfolg. Wir empfehlen, die Führungskräfte eines Unternehmens in jedem Fall durch Präsenztrainings zu sensibili-sieren, da sie in ihrer Vorbildfunktion als positiver Multiplikator für Ihre Bereiche und den Mitarbeitern fungieren.
Beispiel: Erstellung eines Mailbombers
www.hvs-consulting.de Seite 9 von 17
Whitepaper Security Awareness
Security Awareness Videos
Security Awareness Videos sind das perfekte Medium um erlerntes Wissen in Verhalten umzusetzen. Der Mitarbeiter muss nicht jede bedrohliche Situation selbst erlebt haben, um ein sicherheitsbewusstes Verhalten im entsprechenden Augenblick an den Tag zu legen. Er kann durch „Lernen am Modell“ das gewünschte Verhalten an die konkrete Situation koppeln. Diese Art der audiovisuellen Wissensvermittlung wird nachweislich besser gelernt, erinnert und abgerufen als z.B. Text, Audio, Computeranimation, oder ähnliches.
HvS-Consulting hat erfolgreiche Angriffe aus Social Engineering Assessments in anschaulichen Videoclips nachgedreht. In den Videos werden alle typischen Bedrohungen im Unternehmen abgedeckt. Durch reale Szenen mit realen Personen wird im ersten Schritt das Fehlverhalten aufgezeigt und im zweiten Schritt die korrekte Verhaltensweise dargestellt. Diese zweite, „vorbildliche“ Szene wird in der konkreten Gefahrensi-tuation abgerufen und nachgeahmt.
Webbasiertes Security Awareness Training
Nicht alle Mitarbeiter können durch Präsenztrainings vor Ort erreicht werden. Vor allem Niederlassungen und Auslandstöchter stellen eine logistische und kostenspezifische Herausforderung dar. Der Erfolg einer Security Awareness Kampagne hängt jedoch durchaus von der Reichweite der Maßnahmen ab. Ein webbasiertes Security Awareness Training bietet sich hier als effiziente Lösung an.
www.hvs-consulting.de Seite 10 von 17
Whitepaper Security Awareness
Webbasierte Trainings bieten eine Plattform um Wissen zu vermitteln, in Verhalten umzusetzen und zu festigen.
Da diese Trainings von jedem Mitarbeiter individuell zu unterschiedlichen Zeiten absolviert werden, gibt es keine direkte Interaktion wie in einem Präsenztraining. Um die Erfolgsquote einer webbasierten Schulung dennoch auf ein hohes Niveau zu bringen, empfiehlt sich die Kombi-nation verschiedener Lernmethoden: Die Inhalte sollten kurzweilig aufbereitet sein und
durch Multimedia (z.B. Videos) unterstützt werden.
Die Teilnehmer sollten nicht nur konsumieren, sondern durch Übungen selbst aktiv das Erlernte widergeben.
Das Training sollte ein Prüfungsmodul enthalten, um den Lernerfolg messen und dokumentieren zu kön-nen. Allerdings müssen verpflichtende Trainings mit Erfolgsmessung i.d.R. von der Arbeitnehmervertre-tung genehmigt werden.
Da sich die Inhalte in der Informationssicherheit kontinuierlich weiterentwickeln, sollten Sie darauf achten, dass Sie die Inhalte im webbasierten Training ohne großen Programmieraufwand und externe Kosten aktuell halten können. Große Konzerne setzen zur Mitarbeitersensibilisierung meist auf Ihre eigene Lernplattform und importieren professionelle Security Awareness Inhalte in das bestehende E-Learning System. Mittelständische Unter-nehmen setzen oftmals fertige Lösungen ein.
4.3 Phase 3 „Nachhaltigkeit“ Mit Ende der Phase 2 haben Ihre Mitarbeiter eine hohe Sensibilisierung zum Thema Informationssicherheit erworben und werden dies auch in verändertem Verhalten dokumentieren. Es besteht jedoch die Gefahr, dass dieser Erfolg nicht von Dauer ist und die Mitarbeiter wieder in ihr „altes“ Verhaltensmuster zurückfallen. Deshalb sollten, wie eingangs beschrieben, die Botschaften in wiederkeh-renden Abständen erneut kommuniziert werden. Geeignete Maßnahmen sind in dieser Phase unter anderem:
www.hvs-consulting.de Seite 11 von 17
Whitepaper Security Awareness
Bildschirmschoner mit Sicherheitsbotschaften
Wissenscheck und/oder Gewinnspiel über E-Mail oder Intranetseiten
Give Aways (z.B. Zipper für Ausweishüllen)
Stichprobenartiges Re-Assessment mit Social Engineering und Phishing
Security – Video des Monats
Aktuelle Neuigkeiten (z.B. Intranet, Mitarbeiterzeitung)
Tools zur Informationsklassifizierung
Tools zur Informationsklassifizierung
Es gibt im Bereich der Informationssicherheit einige Themen, die trotz aller Sensibilisierungsmaßnahmen nur schwer im Alltag der Mitarbeiter verankert werden. Die Klassifizierung und Kennzeichnung von Infor-mationen gehört definitiv dazu. Sollte das Thema „Informationsklassifizierung“ Bestandteil Ihrer Wissensvermittlung sein, empfehlen sich in der Nachhaltigkeitsphase weitere dedizierte Maßnahmen zur Festigung:
Sie können Workshops zur Informationsklassifizierung in den Fachbereichen der Informationsverantwortli-chen anbieten, z.B. der Personalabteilung. In diesen ca. 2 stündigen Workshops teilen die Mitarbeiter der Personalabteilung ihre wichtigsten Informationen in die Vertraulichkeitsklassen ein und diskutieren unter Anleitung des Abteilungsleiters und moderiert durch den Sicherheitsbeauftragten die unterschiedlichen Sichtweisen auf den Wert der Informationen. Diese aktive Auseinandersetzung mit Informationsklassifizie-rung schafft bei den Workshop Teilnehmern eine hohe Betroffenheit und Verständnis für die Anwendung der Klassen im eigenen Bereich.
www.hvs-consulting.de Seite 12 von 17
Whitepaper Security Awareness
Anschließend unterstützen Sie die Mitarbeiter durch den Einsatz von Tools zur Klassifizierung und Kenn-zeichnung von Dokumenten und E-Mails. IS-FOX Classification ist ein Familie von Plug-Ins für die vier Hauptanwendungen von Microsoft Office: Word, Excel, PowerPoint und Outlook. Diese ermöglichen eine „geführte“ Klassifikation durch die Anwender:
Dokumente und E-Mails müssen bei der Erstellung klassifiziert werden.
Dokumente und E-Mails können entsprechend der Klasse gekennzeichnet werden (z.B. als „vertraulich“)
E-Mails können je Klasse mit bestimmten Restriktionen versehen werden (z.B. erzwungene Verschlüs-selung vertraulicher Informationen).
4.4 Begleitende Kampagnenelemente Die einzelnen Maßnahmen der 3 Phasen sollten bei den Mitarbeitern als Bestandteil einer übergeordneten „Kampagne“ wahrgenommen werden. Durch diese Zuordnung werden die Botschaften besser mit dem Thema Informationssicherheit in Verbindung gebracht und entsprechend verankert. Slogan / Logo / Poster /Aufsteller
Ein Logo und/oder ein Slogan ist eine ideale Maßnahme um die einzelnen Elemente der Security Awareness Kampagne zu verbinden. Beispiele: Ein solches Logo sollte als „Markenzeichen“ auf jedes Kampagnenelement aufgebracht werden z.B. auf Poster, PowerPoint Folien bei Präsenztrainings, Logo im webbasierten Training, Vor- und Abspann in den Videos, Intranet u.v.m.
www.hvs-consulting.de Seite 13 von 17
Whitepaper Security Awareness
Security Awareness Poster sind ein probates Mittel, um eine Security Awareness Kampagne anzukündi-gen und während oder nach der Kampagne den Lernerfolg und die Sensibilisierung auf hohem Niveau zu halten. Beispiele:
5 Auswahl der geeigneten Kampagnenelemente Die vorgestellten Kampagnenelemente zeigen die Vielfältigkeit an potenziellen Maßnahmen. Kaum ein Unternehmen setzt bei der Umsetzung einer Security Awareness Kampagne alle Elemente ein. Die Auswahl der geeigneten Elemente ist abhängig
vom bestehenden Sensibilisierungsgrad im Unternehmen,
von der Unternehmenskultur und
vom Budget. Typischerweise werden die Eckpfeiler einer Kampagne in einem gemeinsamen Kick-Off Workshop definiert und mit Vertretern aus Personalabteilung und Unternehmenskommunikation weiter vertieft.
www.hvs-consulting.de Seite 14 von 17
Whitepaper Security Awareness
Dennoch verlaufen 85% der Kampagnen nach einem ähnlichen, erfolgreichen und bewährtem Muster:
Die einzelnen Phasen können zeitlich natürlich je Unternehmen variieren. Da eine erfolgreiche Sensibilisie-rung jedoch ein gemeinschaftliches interdisziplinäres Vorgehen erfordert, sollten Sie in der Vorbereitungs-phase Zeit für interne Abstimmungen berücksichtigen.
6 Make or buy? Awareness Kampagnen lassen sich nur in speziellen Fällen ohne Individualisierung auf das jeweilige Unter-nehmen umsetzen. Ein Beispiel sind Präsenztrainings zur allgemeinen Sensibilisierung von Mitarbeitern und Führungskräften in einem mittelständischem Unternehmen. Durch die unmittelbare Interaktion erreichen Sie auch mit vorkonfektionierten Trainings einen anhaltenden Erfolg. Je größer und internationaler die Belegschaft wird und je mehr unternehmensindividuelle Themen trans-portiert werden sollen (z.B. Informationsklassifizierung, Umgang mit Besuchern, Einbindung externer Ressourcen in Projekte, etc.), desto umfangreicher wird die Anpassung bestehender Inhalte an Unterneh-mensrichtlinien und –kultur. Unabhängig vom Individualisierungsgrad birgt der Einsatz praxiserprobter Tools hohe Kosten/Nutzen-Effekte.
www.hvs-consulting.de Seite 15 von 17
Whitepaper Security Awareness
Da alle Sensibilisierungsmaßnahmen Menschen als Zielgruppe haben, lassen sich Methoden und Prozesse standardisieren und in effiziente Awareness Tools überführen, ohne dabei auf die Anpassung an die Unternehmenskultur verzichten zu müssen. Einige Beispiele: 80% der Policy-Inhalte sind über alle Unternehmen hinweg nahezu gleich. Es ist daher wirtschaftlich
sinnvoll, professionelle Inhalte für Trainings (Präsenz oder webbasiert) zu verwenden und diese in den letzten 20% auf das Unternehmen anzupassen.
Die Wirkung von Security Awareness Videos ist vielfach nachgewiesen. Die Produktion solcher Videos
kostet jedoch mehrere zehntausend Euro, weshalb selbst Großkonzerne nur selten eigene Videos zur Mitarbeitersensibilisierung drehen. Für mittelständische Unternehmen sind solche Drehkosten i.d.R. im Budget gar nicht darstellbar. Der Einsatz kommerzieller Videos mit eigenem Unternehmenslogo bietet eine effiziente Alternative.
Mitarbeiter sollten in der Nachhaltigkeitsphase mit Informationen über aktuelle Bedrohungen auf dem
neuesten Stand gehalten werden. Es ist allerdings sehr zeitaufwändig, kontinuierlich die aktuellen Ge-schehnisse zu sammeln und so aufzubereiten, dass sie jeder Mitarbeiter versteht und entsprechend handelt. Ein Aboservice mit professionell aufbereiteten Security Awareness News kann dieses Problem lösen.
Ihr Nutzen: Gleiche Wirkung – geringere Kosten HvS-Consulting hat auf Basis jahrelanger Erfahrung die wirkungsvollsten Methoden und Prozesse paketiert und stellt diese als IS-FOX Security Awareness Tools zur Verfügung. Sie ermöglichen eine effiziente und wirkungsvolle Sensibilisierung und verringern signifikant die Kosten, ohne dabei die notwendige Flexibilität einzuschränken:
www.hvs-consulting.de Seite 16 von 17
Whitepaper Security Awareness
Die IS-FOX Security Awareness Tools sind als einzelne Bausteine erhältlich, lassen sich in jede Kampagne einbinden und werden individuell und flexibel an die Unternehmensbedürfnisse angepasst.
IS-FOX Security Awareness Tools
IS-FOX Check Mit Testviren, Phishingseiten und präparierten USB-Sticks erzeugen Sie eine sehr hohe Aufmerksamkeit und messen zeitgleich die aktuelle Sensibilisierung in Ihrem Unternehmen.
IS-FOX Präsenz-training
Sensibilisierung mit Erfolgsgarantie. Die Mischung aus Wissensvermittlung, Live Hacking, spannenden Videos und zahlreichen Insidergeschichten garantiert seit Jahren 100% zufriedene Kunden.
IS-FOX webbased Training
Professionelle praxiserprobte Inhalte, Anpassung ohne Programmieraufwand, mit Übungen, Videos und integriertem Testmodul. Die kosteneffizienteste Variante Ihre Mitarbeiter zu sensibilisieren.
IS-FOX Videos Hohe Identifikation durch authentische Szenen, die sich täglich auch in Ihrem Unternehmen ereignen könnten. Die Inhalte werden wirklich gelernt und in einer vergleichbaren konkreten Situation abgerufen.
IS-FOX Poster Setzen Sie zusätzliche Akzente in allen Phasen der Kampagne. Poster alleine sensibilisieren nur in sehr geringem Umfang, deshalb sollten sie als begleitendes Element neben anderen Maßnahmen eingesetzt werden.
IS-FOX Content Aktuelle Sicherheitsthemen im Aboservice, verständlich aufbereitet mit direkter Bezugnahme auf Unternehmensrisiken. Verschiedene Medienformate (z.B. Intranet Artikel, Videos, Präsentationen). Sehr hohe Kosteneffizienz, da interne Aufwände für Recherche und Erstellung entfallen.
IS-FOX Classification Plug-Ins für Microsoft Office ermöglichen eine „geführte“ Klassifikation durch die Anwender. Dadurch wird Informationsklassifizierung ins Leben gebracht und im Arbeitsalltag verankert. Raus aus der Policy, rein in die Köpfe!
Weiterführende Informationen finden Sie unter http://www.is-fox.de/ . Ob und welche Tools in einer Awareness Kampagne zum Einsatz kommen, ist abhängig von Sensibilisie-rungsgrad, Kultur und Budget. Für Mittelstandskunden haben wir ein bewährtes und effizientes Security Awareness Mittelstandspaket zusammengestellt: es enthält eine wirkungsvolle Kombination von Aware-ness Maßnahmen, speziell abgestimmt auf mittelständische Kunden.
www.hvs-consulting.de Seite 17 von 17
Whitepaper Security Awareness
7 Ihr Kontakt zu HvS-Consulting Sie haben Fragen zu Security Awareness Kampagnen? Wir sind gerne für Sie da. HvS-Consulting AG Parkring 6 85748 Garching bei München Telefon: +49 (0)89 / 890 63 62 - 0 Telefax: +49 (0)89 / 890 63 62 - 62 E-Mail: [email protected] Internet: www.hvs-consulting.de Die Kernkompetenzen der HvS-Consulting AG liegen im Bereich Information Security Management nach ISO 27001 / ITIL, Prävention von Industriespionage, individuelles Coaching von Sicherheitsverantwortlichen (CIO, CSO), Sensibilisierung von Mitarbeitern durch Security Awareness Kampagnen sowie IT-forensische Analysen. Seit vielen Jahren unterstützt HvS-Consulting erfolgreich mittelständische und große internationale Unter-nehmen bei der Erstellung und dem Rollout unternehmensweiter Sicherheitsrichtlinien, sowie der beglei-tenden Sensibilisierung der Mitarbeiter und Führungskräfte.
Über die Autoren Georg Janko ist Information Security Consultant bei HvS-Consulting. Er berät Unternehmen in den Schwer-punkten Security Policies, Konzeption und Umsetzung von Security Awareness Kampagnen, sowie Informa-tionsklassifizierung. Frank von Stetten ist Gründer und Vorstand der HvS-Consulting AG. Er berät Unternehmen bei Security Awareness Kampagnen und verantwortet die IS-FOX Security Awareness Produkte.
![Gamifying Security Awareness [german]](https://static.unterlagen.site/doc/80x56/589fbec01a28ab91398b4a85/gamifying-security-awareness-german.jpg)
