Die Maßnahmen zum Schutz eines Unternehmens können in technische Maßnahmen und Personalmaßnahmen unterschieden werden. Die IT-Abteilung muss die technischen Maßnahmen umsetzten. Dafür muss die Geschäftsleitung ausreichende Ressourcen zur Verfügung stellen.
Phishing E-Mails werden allerdings an alle Mitarbeiter geschickt, und daher ist es wichtig, dass alle Mitarbeiter geschult sind und die Risiken kennen. Regelmäßige Schulungen sind daher unabdingbar. Schulungen zur Cybersicherheit können intern oder extern gehalten werden. Wenn ein Unternehmen nach ISO 27001 zertifiziert ist, kann die Cybersecurity-Schulung Teil des Bereiches „Awareness“ sein.
Welche Themen müssen in der Cybersecurity-Schulung behandelt werden?
Das Thema E-Mail Phishing steht ganz oben auf der Agenda. Hilfreich ist es, wenn die Schulung anschauliche Beispiele enthält, an denen die Mitarbeiter lernen können, wie die Angreifer vorgehen. Mitarbeiter müssen lernen zu zweifeln, nicht zu vertrauen. Wenn der Absender der E-Mail unbekannt ist, darf die E-Mail nicht geöffnet werden. Mitarbeiter müssen lernen verantwortungsvoll zu handeln. Die IT-Abteilung muss jederzeit bereit sein anderen im Unternehmen zu helfen. Wenn Mitarbeiter nicht den Mut haben, in der IT um Hilfe zu bitten, kann die Abwehr gegen Cyberangriffe nicht effektiv organisiert werden.
In der Schulung werden die Mitarbeiter auch über das Verhalten bei Diebstahl von Geräten informiert. Was muss eigentlich im Fall der Fälle getan werden? Wer muss angerufen werden? In jeder Schulung werden die Telefonnummern der zuständigen Cybersecurity Kollegen eingeblendet. Wenn diese Telefonnummern aber nicht in das eigene Telefonbuch übertragen werden, stehen die Telefonnummern im Notfall nicht zur Verfügung.
Eine Cybersecurity-Schulung wird vom CISO (Chief Information Security Officer) immer auf dem aktuellen Stand gehalten und jeder Mitarbeiter nimmt mindestens einmal im Jahr an der Schulung Teil. Neue Mitarbeiter werden kurz nach dem ersten Arbeitstag in gesonderten Schulungen unterrichtet. Es bietet sich an, die unregelmäßigen Schulungen für alle interessierten Mitarbeiter zu öffnen.
In einem Schulungsprotokoll werden Zeit, Ort, Teilnehmer und Schulungsinhalte des Trainings dokumentiert.
Neben der Cybersecurity-Schulung sollte jedes Unternehmen auch Schulungen für andere Themen bereithalten. Hier sind vor allem „Datenschutz“ und „Brandschutz / Verhalten bei Feuer“ zu nennen.
System.de hält für Sie eine Cybersecurity-Schulung als einen Baustein unserer Service Manufaktur bereit.
Fazit
Cybersecurity ist nicht eine Aufgabe oder ein Projekt einer IT-Abteilung, sondern ein Prozess, der fortwährend verbessert werden muss. Alle Teile der Organisation sind betroffen und daher aufgefordert, ihren Beitrag zu leisten. Die Bedrohung durch Angreifer ist real, und es ist immer besser im Vorfeld zu handeln, als den Schaden zu erleiden und dann die Investitionen zu tätigen, die vorher notwendig gewesen wären.
System.de hilft Ihnen gerne bei der Festlegung ihrer Cybersecurity Strategie. Sprechen Sie uns an!