Anzeige

Anzeige

VERANSTALTUNGEN

visiondays 2019
20.02.19 - 21.02.19
In München

SAMS 2019
25.02.19 - 26.02.19
In Berlin

Plutex Business-Frühstück
08.03.19 - 08.03.19
In Hermann-Ritter-Str. 108, 28197 Bremen

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

Anzeige

Anzeige

Security Awareness

Der SANS 2018 Security Awareness Report zeigt den Reifegrad der Security Awareness-Programme in Unternehmen auf und bietet praktische Handlungsempfehlungen auf Basis neuer Erkenntnisse. Die Studie zeigt, dass sich Programme zur Sensibilisierung für Cybersicherheit in den Unternehmen immer stärker durchsetzen, allerdings die für die Umsetzung verantwortlichen Fachleute aufgrund von Zeit, Budget und Ressourcen-Mängeln herausgefordert werden.

SANS Security Awareness, Anbieter im Bereich Security Awareness Training und eine Abteilung des SANS Institutes, gibt die Ergebnisse des Security Awareness Reports 2018 „Building Successful Security Awareness Programs“ bekannt. Die Studie zeigt, dass sich Programme zur Sensibilisierung für Cybersicherheit in den Unternehmen immer stärker durchsetzen, allerdings die für die Umsetzung verantwortlichen Fachleute aufgrund von Zeit, Budget und Ressourcen-Mängeln herausgefordert werden. Die Ergebnisse belegen einen klareren Zusammenhang zwischen dem Grad der Unterstützung für Security Awareness durch die Unternehmensführung und den Reifegrad der Programme.

„Angesichts der jüngsten Vorfälle, wie sie Equifax und Yahoo! getroffen haben, des WannaCry-Ransomware-Angriffs auf den National Health Service, sowie neuer Vorschriften wie der EU-Datenschutzgrundverordnung, die den Datenschutz in den Mittelpunkt stellen, gibt es ein neues Bewusstsein für die Dringlichkeit der Cybersicherheit. Das stärkt sowohl die Unterstützung als auch den Wandel“, erklärt Lance Spitzner, Leiter des Security Awareness-Programms des SANS Institutes. „Security Awareness kann eine Herausforderung sein, ist aber notwendig und die Mühe lohnt sich.“

Die Studie wurde in Zusammenarbeit mit den Forschern des Kogod Cybersecurity Governance Center (KCGC), einer Initiative der Kogod School of Business (KSB) an der American University, durchgeführt und zeigt:

  • 58 Prozent der Befragten Security Awareness-Fachkräfte berichten, dass ihre Arbeit bereits eine positive Auswirkung auf die Sicherheit in ihrem Unternehmen gezeigt hat.
     
  • Die Rüstungsindustrie ist die reifste mit über 10 Prozent auf der höchsten Stufe des Security Awareness-Reifegradmodells, während die verarbeitende Industrie mit nur 2 Prozent am wenigsten weit fortgeschritten ist.
     
  • Finanz- und Betriebsabteilungen sind mittlerweile die größten Hindernisse für den Aufbau oder die Weiterentwicklung eines Security Awareness-Programms. In den vergangenen Jahren gaben die Studienteilnehmer noch an, dass die Kommunikationsabteilungen ihre Sicherheits-Anstrengungen am meisten stören würden. Die Ergebnisse legen aber nahe, dass die Fachleute es geschafft haben, zu den Kommunikationsteams Brücken aufzubauen und sie zu sensibilisieren.
     
  • Die Mehrheit der Fachkräfte für Security Awareness kommen aus dem technischen Bereich. Weniger als 20 Prozent stammen aus nicht-technischen Bereichen wie der Unternehmenskommunikation, Marketing, Recht oder HR.

„Die Studie zeigt, dass eine klare Mehrheit (80 Prozent) der Sicherheitsexperten ihre Aktivitäten bezüglich des Awareness-Programms als nur einen Teil ihrer Gesamtverantwortung sehen“, sagt Dan DeBeaubien, Product Director für SANS Security Awareness. „Viele behaupten, kein Budget für ein Sensibilisierungsprogramm zu haben oder nicht zu wissen, wieviel Budget sie dafür haben (76 Prozent). Den meisten Verantwortlichen fehlen die Fähigkeiten oder der Hintergrund, um das Programm effektiv zu kommunizieren und mit der Belegschaft in Kontakt zu treten.“

Folgendes Hintergrundwissen hilft dabei, wirkungsvolle Security Awareness-Programme zu erstellen:

  • Die meisten Security Awareness-Programme benötigen mindestens 1,9 Vollzeitäquivalente, um das Verhalten der Belegschaft grundlegend zu ändern. Die ausgereiftesten Programme, die sowohl kulturelle Auswirkungen als auch ein Rahmenwerk haben, um den Erfolg zu messen, benötigen durchschnittlich 3,6 Vollzeitäquivalente.
     
  • Die Awareness-Beauftragten müssen sowohl das Budget als auch Partnerschaften nutzen, um die Zeit, die sie für die Verwaltung ihrer Programme haben, optimal zu nutzen.
     
  • Soft Skills wie Kommunikation und Marketing sind der Schlüssel, um das Verhalten der Mitarbeiter zu beeinflussen und zu verändern. Es sollte deshalb sichergestellt werden, dass mindestens eine Person der Security Awareness über diese Soft Skills verfügt oder eine Partnerschaft mit anderen Personen eingeht, die diese Kenntnisse mitbringen.
     
  • Während die Unterstützung für Sensibilisierungsprogramme weiter zunimmt, sind die Finanz- und Betriebsabteilungen die größten Blockierer. Die Security Awareness Teams müssen deshalb den Wert und die Wirkung ihres Programms unter unternehmerischen Aspekten kommunizieren und wichtige Abteilungen von Anfang an einbeziehen. Wer früh beteiligt wurde, wird eher zur Zusammenarbeit neigen, während spät einbezogene Personen eher kritisieren.
     
  • Um den Zeitmangel auszugleichen, sollte überlegt werden, sich Zeit zu erkaufen: Wer den Etat hat, kann beispielsweise darauf verzichten, den Newsletter selbst zu erstellen und andere beauftragen oder Material von anderen Anbietern lizenzieren. Je mehr delegiert wird, umso mehr Zeit bleibt für strategische Partnerschaften und den Aufbau des Kernprogramms.

Über die Studie:

Der SANS Security Awareness Report wurde entwickelt, um Sicherheitsexperten in die Lage zu versetzen, datengestützte Entscheidungen zur Verbesserung ihrer Security Awareness-Programme zu treffen und diese mit anderen Programmen zu vergleichen. Das Ziel ist zu zeigen, was große Security Awareness-Programme zu einem Erfolg macht. In diesem Jahr geben die Daten von über 1.718 Befragten einen noch besseren Einblick in die Bewertung und Weiterentwicklung eines Security Awareness Programms.

Der Bericht verwendet das Security Awareness Maturity Model als Leitfaden, um den Grad der Auswirkungen eines Programms auf die Organisation zu ermitteln - wie misst man das menschliche Risiko und beeinflusst das Verhalten der Endnutzer. Für detailliertere Analysen und Handlungsempfehlungen zur Verbesserung des Sicherheitsbewusstseins können Sie den SANS 2018 Security Awareness Report hier herunterladen.
 

GRID LIST
Kristallkugel

Predictive Banking ist noch Zukunftsmusik

Holvi hat Freiberufler in Deutschland und Österreich zum Thema Predictive Banking…
Weiterbildung

Mitarbeiter wünschen sich individuelles Coaching

Mit einem ganzheitlichen Lernangebot können Unternehmen bisher ungenutztes Potenzial…
Online-Banking

Aus Sicherheit verzichten viele Nutzer auf bestimmte Online-Dienste

Kein Online-Banking, wenig Social Media oder Verzicht auf Cloud-Dienste: Sechs von zehn…
Tb W190 H80 Crop Int F17a1beb824454b2a28b9d727b73d242

Wenn das Geschäft mit der Sicherheit boomt

Das Allianz Risk Barometer 20181 benennt Cyberunfälle als zweitgrößtes Geschäftsrisiko…
Cyberattacks

Sicherheitslücken, OT-Angriffe und Krypto-Mining prägten 2018

Der neue Vulnerability and Threat Trends Report von Skybox Security gibt Einsicht in die…
Tb W190 H80 Crop Int 0436b93b60b9915c4a7ec3358bf476e8

Fehlende Zusammenarbeit behindert digitale Strategien

Unternehmen und öffentliche Einrichtungen stimmen sich bei der Umsetzung ihrer digitalen…
Smarte News aus der IT-Welt