Framework festlegen

Für den Start eines Security-Awareness-Programms sollte zunächst die Frage der Zielgruppe geklärt werden. An wen sollen sich die Botschaften richten? An alle Mitarbeiter, Administratoren oder IT-Nutzer? Schon der Empfängerkreis beeinflusst die Art und Weise, wie das Programm aufgebaut werden sollte, da von einem unterschiedlichen Kenntnisstand und unterschiedlichen Arbeitsweisen ausgegangen werden kann.

Im Anschluss müssen die Inhalte des Programms abgesteckt werden. Ein sinnvoller Ansatzpunkt hierbei sind die Richtlinien des Unternehmens, welche sicherheitsrelevante Verhaltensregeln vorgeben – häufig aber in den Tiefen des Filesystems oder Intranets vergraben sind. Empfehlenswert ist es, wenn ein einzelnes Thema ausgewählt wird, für das ein Security-Awareness-Programm aufgesetzt werden soll, beispielsweise

Regelungen zum Zutrittsschutz,
Umgang mit Notebooks,
Vorgaben zur Email- und Internetnutzung,
Passwortrichtlinien,
Umgang mit vertraulichen Informationen.
Für den Start des Programms sollte ein Thema herausgegriffen werden, welches einen möglichst großen Kreis von Mitarbeitern anspricht. Für die Identifizierung eines geeigneten Themas hilft häufig auch ein Blick auf die in letzter Zeit am häufigsten aufgetretenen Schäden und Vorfälle.

Das Ziel des Programms orientiert sich an dem Thema, das verfolgt wird. Auch wenn Sicherheit schwer messbar ist, kann die Überlegung nicht schaden, ob es einen oder mehrere sinnvolle Parameter gibt, an denen der Erfolg des Programms sichtbar wird. Für die oben skizzierten Themen wäre beispielsweise denkbar, folgendes zu protokollieren:
Anzahl der verlorenen Unternehmensausweise über einen Zeitraum,
Anzahl der abhanden gekommenen Notebooks über einen Zeitraum,
Anzahl der Virenvorfälle, die erst auf Sicht des Anwenders erkannt und bekämpft wurden,
Anzahl der beantragten Passwortrücksetzungen über einen Zeitraum.
Letztlich bleibt festzulegen, über welches Medium die Nachricht an die Empfänger transportiert werden soll. Die hierfür zur Verfügung stehenden Möglichkeiten sind nur durch die Vorstellungskraft des Security Managements begrenzt. Einige mögliche Varianten werden im Folgenden skizziert. Empfehlenswert ist es, wenn mehrere Methoden miteinander kombiniert werden. Bei jedem Programm sollte die Frage des Anreizes für den Empfänger, sich mit den Themen auseinander zu setzen, nicht vernachlässigt werden.

[Vorherige]  1 2 3 4 5  [Nächste]