Schaffung einer Sicherheitskultur

Oktober ist Nationaler Monat des Bewusstseins für Cybersicherheit.

Es ist (unter anderem) auch der Monat zur Aufklärung über Brustkrebs, der Monat der Zahnhygiene, der Monat zur Prävention von Mobbing und mein persönlicher Favorit, der National Pizza Month. Außerdem ist Halloween! Aber ich schweife ab … wir sind hier, um über Cybersicherheit zu sprechen.

Jeder Hersteller sollte für alle seine Mitarbeiter mindestens eine Schulung zum Thema Cybersicherheit durchführen einmal im Jahr. Viele Menschen erschrecken allein schon die Erwähnung der Wörter „Cybersicherheit“ und „Training“, daher scheint der Oktober ein geeigneter Zeitpunkt dafür zu sein. Ihre Schulung sollte mindestens relevante Unternehmensrichtlinien wie Ihre IT-Sicherheit, Informationssicherheit und physische Sicherheit abdecken.

Im Laufe der Jahre haben viele von uns diese Art der Ausbildung gemacht und gelernt, sie zu fürchten. Eine Schulung, bei der jemand genau die gleiche Cybersicherheitsrede hält, die er letztes Jahr gehalten hat, und dann ein Papier zum Unterschreiben aushändigt, das besagt, dass Sie dort waren. Ein echtes Snoozefest. Diese Art von Schulung erfüllt ihre Aufgabe so weit, dass sie das Nötigste erfüllt, hat jedoch wenig Einfluss darauf, das Verhalten der Mitarbeiter tatsächlich zu formen.

Der wahre Zweck des Bewusstseins und der Schulungsmaßnahmen für Cybersicherheit sollte darin bestehen, eine Sicherheitskultur zu schaffen, was bedeutet, dass die Mitarbeiter gute Cybersicherheitspraktiken als gutes Geschäft und als Teil der „Wie wir hier Geschäfte machen“ betrachten sollten. Mitarbeiter sollten sich in der Lage fühlen, gute Cybersicherheitsentscheidungen zu treffen und zu verstehen, was eine gute Entscheidung ausmacht. Sensibilisierung und Schulung sollten sich auf Folgendes konzentrieren:

• Risikoverhalten stoppen: Helfen Sie Ihren Mitarbeitern zu wissen, welche Entscheidungen zu einem schlechten Ergebnis führen können. Zum Beispiel das Öffnen von E-Mail-Anhängen aus unbekannten Quellen.
• Zu weniger riskantem Verhalten ermutigen: Helfen Sie Ihren Mitarbeitern, Prozesse zu verstehen und zu implementieren, die die Sicherheit erhöhen. Zum Beispiel, wie man starke Passwörter erstellt.
• Aus Mitarbeitern Wächter machen: Helfen Sie Mitarbeitern, ein Cybersicherheitsereignis zu erkennen und darauf zu reagieren. Was ist beispielsweise zu tun, wenn ein Gast ein nicht autorisiertes USB-Laufwerk an einen Computer anschließt.

Idealerweise sollte das Training eine kontinuierliche Anstrengung sein. Einige Ideen, wie Sie Cybersicherheitsschulungen in die tägliche Arbeit Ihres Unternehmens integrieren können, sind:

• Heben Sie regelmäßig Cybersicherheit als wichtiges Ziel Ihres Unternehmens hervor.
• Integrieren Sie einen Cybersicherheitstipp, -trick oder -erinnerung in jedes Meeting.
• Posten Sie am Arbeitsplatz Erinnerungen an geeignete Sicherheitspraktiken.
• Veranstalten Sie regelmäßige Besprechungen, um mögliche Prozessverbesserungen zu besprechen, die es den Mitarbeitern erleichtern können, bessere Sicherheitsentscheidungen zu treffen.

Es wurde viel darüber geforscht, wie eine gute Cybersicherheitsschulung für Mitarbeiter aussieht. Im Allgemeinen kann es mit dem Akronym „RAINSTORMS“ zusammengefasst werden. Ja, das habe ich mir gerade ausgedacht.

• R eal:Die Verwendung von Fallstudien aus der Praxis oder realistischen Szenarien hilft, die Lektionen nach Hause zu bringen.
• A umsetzbar:Fügen Sie etwas hinzu, das die Mitarbeiter sofort tun können. Dazu kann gehören, ihre Passwörter zu ändern, eine Bestandsaufnahme ihrer IT-Ressourcen zu erstellen oder sicherzustellen, dass sie die Kontaktinformationen der Person oder Organisation, der sie einen Vorfall melden sollen, auf ihren Telefonen haben. Manchmal ist auch eine langfristige Hausaufgabe angebracht, aber ein unmittelbares Ziel zu haben ist immer hilfreich.
• Ich interaktiv:Rollenspiele, Diskussionen in kleinen Gruppen oder praktische Übungen sind einige großartige Möglichkeiten, das Training interaktiver zu gestalten. Idealerweise sollten die Interaktionen bidirektionale Gespräche beinhalten, die alle Managementebenen einbeziehen, um sicherzustellen, dass jeder weiß, dass jeder die gleichen Verantwortlichkeiten hat und alle auf dem gleichen Stand sind.
• N ew:Einige Wiederholungen sind im Training angebracht, insbesondere wenn es um Richtlinien geht, aber es sollte nicht langweilig werden. Verschiedene Trainingsformate (z.B. Vortrag, Rollenspiel, Videos) können dabei helfen.
• S Mall:Bissgroße Informationsbrocken sind viel leichter zu verdauen als ein ganzes Informatikstudium, das den Mitarbeitern aufgezwungen wird. Ein Thema nach dem anderen ist im Allgemeinen vorzuziehen.
• T estable:Es sollte ein messbares, überprüfbares Ziel für das Cybersecurity-Training geben. Wenn es um allgemeines Bewusstsein geht, kann vielleicht ein Quiz entwickelt werden. Wenn Phishing-Angriffe abgewehrt werden sollen, kann möglicherweise sowohl einige Wochen vor als auch einige Wochen nach dem Ereignis eine gefälschte Phishing-E-Mail gesendet werden. Dies wird dazu beitragen, zu zeigen, wie effektiv das Training war.
• O wned:Die Mitarbeiter sollten die Schulung mit dem Gefühl der Eigenverantwortung verlassen und dass die Cybersicherheit in ihrer Verantwortung liegt; sie sollten sich ermächtigt fühlen, gute Entscheidungen zur Cybersicherheit zu treffen.
• R relevant:Die meisten Unternehmen haben unterschiedliche Benutzertypen. Das Anpassen des Trainings an jeden Benutzertyp macht es realer. Dies kann bedeuten, dass die Mitarbeiter in der Werkstatt im Vergleich zu den Büromitarbeitern unterschiedliche Schulungen haben.
• M emorable:Verwenden Sie Akronyme, prägnante Merkwörter oder, mein persönlicher Favorit, Humor. Menschen erinnern sich an lustige Dinge – Wortspiele, schlechte Musikvideos, lächerliche Meme von Katzen – viel besser als an einen langweiligen Vortrag. Haben Sie keine Angst, es unkonventionell zu machen und Spaß zu haben.
• S imple:Training sollte vor allem einfach sein. Übermäßig technische Lektionen voller Technobabble sind nur gut, um die Leute zum Einschlafen zu bringen.

Die National Initiative for Cybersecurity Education (NICE) hat eine kleine Liste kostenloser und kostengünstiger Ressourcen, die bei der Mitarbeiterschulung helfen. Es gibt auch viele zusätzliche Ressourcen, die online verfügbar sind. Machen Sie einfach eine Internetsuche und Sie werden mit Optionen bombardiert. Bewerten Sie diese Optionen mithilfe der RAINSTORMS-Vorlage oben.

Im Laufe des Monats Oktober wird NIST MEP eine Reihe von Blogs veröffentlichen, die lose dem Thema und dem Entwurf der National Cybersecurity Alliance (NCSA) folgen. Das Thema in diesem Jahr lautet „Tun Sie Ihren Teil. #BeCyberSmart.“ Ich persönlich war nie ein Fan von Eigenwerbung für einen Hashtag, aber wenn Sie in diesem Monat über Cybersicherheit twittern oder bloggen, sollten Sie den Hashtag #BeCyberSmart verwenden – wir werden sehen, wie weit er geht.

Die von der NCSA herausgegebene Gliederung sieht wie folgt aus:

• Woche vom 5. Oktober (Woche 1):Wenn Sie es verbinden, schützen Sie es
• Woche vom 12. Oktober (Woche 2):Geräte zu Hause und am Arbeitsplatz sichern
• Woche vom 19. Oktober (Woche 3):Sicherung von internetfähigen Geräten im Gesundheitswesen
• Woche vom 26. Oktober (Woche 4):Die Zukunft vernetzter Geräte

Nicht sicher, wo Sie anfangen sollen? Sie können mehr darüber erfahren, wie Sie ein effektives Cybersicherheits-Schulungsprogramm implementieren, indem Sie sich an Ihr lokales MEP-Center wenden. Auf der NIST MEP-Website können Sie auch auf Cybersicherheitsressourcen für Hersteller zugreifen.

Dieser Blog ist Teil einer Reihe, die für den National Cybersecurity Awareness Month (NCSAM) veröffentlicht wurde. Weitere Blogs in der Serie sind If You Connect It, Protect It von Zane Patalive, Suspicious Minds:Non-Technical Signs Your Business Might Been Hacked von Pat Toth, Secure Internet-Connected Medical Devices von Jennifer Kurtz und The Future of Connected Devices von Erik Fogleman und Jeff Orszak.