Rawpixel.com - stock.adobe.com
Die Rolle des Security Awareness Managers im Unternehmen
Wenn die Mitarbeiter eines Unternehmens Bedrohungen nicht erkennen oder verstehen, wird es schwer IT-Sicherheit umzusetzen. Da kommt der Security Awareness Manager ins Spiel.
Die technischen Möglichkeiten zur Erkennung und Abwehr von Bedrohungen verbessern sich kontinuierlich und leisten vielfach Beeindruckendes. Dennoch darf in einer Security-Strategie der Mensch als Sicherheitsfaktor nicht unterschätzt werden. Das haben viele Unternehmen erkannt und nehmen diesen Teil der Sicherheit sehr ernst. Das verdeutlicht auch unsere Umfrage zu den IT-Prioritäten von Unternehmen, bei denen Anwender und deren Security-Schulung ganz oben auf der Agenda stehen.
Damit jeder einzelne Mitarbeiter aber seinen Anteil zur Gesamtsicherheit beitragen kann, müssen die Trainings und Materialen sorgsam gewählt werden. Und dem Unternehmen muss auch klar sein, welche Ziele in Sachen Compliance und IT-Security erreicht werden sollen. Und wenn Mitarbeiter in der Lage sind, Bedrohungen zu erkennen, wie sollen sie dann verfahren und wem müssen sie den Vorfall melden?
Die Verbesserung des Sicherheitsbewusstsein der Belegschaft sollte daher mit System angegangen werden. Aber was heißt das eigentlich für Unternehmen? Wer kümmert sich darum und wie kann man feststellen, ob die Bemühungen von Erfolg gekrönt sind?
Im Gespräch mit ComputerWeekly.de erläutert Brian Jack die Rolle eines Security Awareness Managers im Unternehmen. Brian Jack verfügt über Berufserfahrung in den Bereichen Anti-Phishing, Social Engineering, Malware-Analyse, Design und Entwicklung automatisierter Systeme. Derzeit ist er als Chief Information Security Officer und Data Protection Officer bei KnowBe4 tätig. Er ist hier für die Verwaltung der globalen Informationssicherheits-, Compliance- und Datenschutzprogramme des Unternehmens verantwortlich.
Was macht ein Security Awareness Manager?
Brian Jack: Ein Security Awareness Manager ist eine Person, die dafür verantwortlich ist, dass die Benutzer einer Organisation die Bedrohungen verstehen, mit denen sie konfrontiert werden. Sie werden so lange geschult, bis sie erkennen können, wenn eine dieser Bedrohungen auftritt und dass sie den richtigen Weg kennen, um mit der Bedrohung umzugehen. Der Security Awareness Manager sollte auch die Awareness-Compliance-Ziele der Organisation verstehen und sicherstellen, dass diese Ziele erfüllt werden.
Was sind die Aufgaben eines Security Awareness Managers?
Jack: Zu den allgemeinen Aufgaben gehören die Identifizierung und Auswahl des Schulungsmaterials und der Art der Bereitstellung (Spiele, Videos, Schulungen mit Quiz) dieses Materials sowie die Festlegung der Häufigkeit. Darüber hinaus ist auch die Auswahl der Bewertungsmöglichkeiten wichtig (simuliertes Phishing, Vishing oder persönliche Social-Engineering-Tests), es müssen die sein, die am besten zur Unternehmenskultur passen.
Diese Person muss auch sicherstellen, dass den Benutzern eine Methode zur Meldung identifizierter Risiken zur Verfügung steht und dass diese Methode allen Benutzern bekannt ist und von ihnen verstanden wird.
Welches Wissen und welche Fähigkeiten benötigt jemand in dieser Position?
Jack: Die Person in dieser Rolle sollte ein gutes Verständnis für Cybersecurity-Bedrohungen wie Phishing und Malware haben. Sie muss die Compliance-Ziele verstehen, die das Unternehmen erfüllen muss, wie PCI DSS oder die DSGVO (Datenschutz-Grundverordnung), und sollte einige Grundlagen des menschlichen Verhaltens und ihrer Gewohnheiten verstehen. Diese Person sollte in der Lage sein, Benutzer mit hohem Risiko im Unternehmen zu identifizieren, die spezifischen Bedrohungen zu erkennen, denen sie ausgesetzt sind, und den Schulungs- und Bewertungsstil zu bestimmen, der zu einer Änderung des Risikos führt, das dieser Benutzer für das Unternehmen darstellt.
Was sind die wichtigsten Werkzeuge und Techniken zur Messung des Erfolgs?
Jack: Der Erfolg eines Security Awareness Managers sollte daran gemessen werden, wie effektiv die Schulung die Anfälligkeit eines Benutzers für Cybersicherheitsbedrohungen nachhaltig verändert. Dies kann durch die Messung der Ergebnisse eines Phishing-Tests, der Punkte aus wiederkehrenden Quizfragen und durch die Bereitstellung einer Methode zur Meldung von Bedrohungen für die Benutzer erfolgen.
Wie betreibt man Security Awareness in einem Unternehmen?
Jack: Dies ist für jede Organisation unterschiedlich, abhängig von der Unternehmenskultur. Im Allgemeinen sollten alle neuen Benutzer vom ersten Tag im Unternehmen und danach mindestens einmal jährlich geschult werden. Alle neuen Benutzer sollten über die tatsächlichen Bedrohungen informiert werden, mit denen das Unternehmen konfrontiert ist, und sie sollten die Möglichkeit haben, Fragen zu diesen Bedrohungen zu stellen (dies kann persönlich geschehen). Das Schulungsmaterial sollte mindestens jährlich aktualisiert werden, damit die Benutzer über die neuesten und aktuellen Bedrohungen informiert sind.
Sie müssen sicherstellen, dass alle Benutzer über die notwendigen Werkzeuge verfügen, um Bedrohungen, die sie erhalten, zu identifizieren und zu melden, sowie über das Wissen, wie sie diese Werkzeuge verwenden können. Ein Beispiel wäre eine Möglichkeit, einen möglichen echten Phishing-Angriff zu melden.
„Ein Security Awareness Manager ist eine Person, die dafür verantwortlich ist, dass die Benutzer einer Organisation die Bedrohungen verstehen, mit denen sie konfrontiert werden.“
Brian Jack, KnowBe4
Sobald die Schulung erfolgt ist und die Benutzer mit den verfügbaren Tools vertraut gemacht wurden, müssen alle Benutzer regelmäßig durch wiederkehrende Testmethoden bewertet werden. Dies kann zum Beispiel durch das Versenden regelmäßiger Fragebögen oder die Durchführung realer Szenarien wie Phishing- oder Vishing-Tests erfolgen.
Ein Security Awareness Manager muss die Benutzer in die Lage versetzen, das Wissen und die Tools anzuwenden. Außerdem muss er prüfen, wie sie reagieren, wenn sie mit einer Bedrohung konfrontiert werden. Vor allem bei den Bedrohungen, auf die sie gerade geschult wurden, um zu sehen, ob die Schulung effektiv oder eben nicht effektiv war und sie zusätzliches Training benötigen. Es sollte eine Strategie geben, um die Benutzer dauerhaft zu motivieren oder Anreize und Auszeichnungen für die Benutzer bereitzustellen.
Wie wird sich diese Position innerhalb eines Unternehmens in den nächsten fünf Jahren weiterentwickeln?
Jack: Die Position des Security Awareness Managers wird sich weiterentwickeln, wie sich die Bedrohungen weiterentwickeln und neuere, effektivere Schulungsmethoden zur Verfügung stehen. Ein großer Teil der Schulungen wird über computergestützte Methoden und selektiv persönlich durchgeführt werden, anstatt nur das eine oder das andere zu tun.
Der Manager muss sowohl technisch versiert als auch persönlich empathisch sein. Er muss die Bedrohungen verstehen und wissen, wie die Plattformen und Tools für die Bereitstellung zu verwenden sind, als auch in der Lage sein, die Schulung und die Bedrohungen mit den Benutzern auf eine Weise zu besprechen, die für den jeweiligen Benutzer geeignet ist (manchmal sehr technisch, manchmal sehr einfach).