Information Security Awareness
Marcus Beyer
Senior Security Awareness Architect
Hewlett-Packard (Schweiz) GmbH
Sarah Ahmed
Junior Security Awareness Consultant
Hewlett-Packard (Schweiz) GmbH
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
2
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Das Risiko sitzt 50 Zentimeter vor dem Bildschirm, oder…
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
… im Zug, am Flughafen etc.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Bewusstsein für Sicherheit im Unternehmen
BewusstseinsNiveau bzw.
Durchdringung
Im Unternehmen
Sicherheitsvorfall im Unternehmen
Zeit
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Fehlende Awareness:
Gründe für Sicherheitslöcher in Unternehmen
Fehlendes Bewusstsein der Mitarbeiter
Fehlendes Bewusstsein im Management
Kompetente Mitarbeiter fehlen
Kontrolle unzureichend
Vorhandene Konzepte werden nicht umgesetzt
Praxisorientierte Sicherheitsberater fehlen
0%
10 %
20 %
30 %
40 %
50 %
60 %
70 %
Quelle: KPMG
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Security Awareness als Kommunikationsmotor
Security Mgmt. / Organisation
• Sicherheitsorganisation
• Anweisungen, Security Policies
Communication, Education & Training
• Interne Kommunikation mit Fokus auf Sicherheit
• Verhaltensänderung & Sensibilisierung
Technology
Awareness
IT-Security
• Unterstützung der Security durch technische Ressourcen
• Regulation und Absicherung
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Awareness Maturitätskurve
Persönliches Engagement
Sicheres Verhalten
Fehlerkultur / Akzeptanz
Implementation (Fähigkeiten / Kenntnisse)
Zusätzliches
Engagement und
„Kulturaspekte“ im
Unternehmen
Überzeugung (positive Wahrnehmung/ Einstellung)
Verstehen / Wissen
Sensibilisierung
Informationen
Investment (Zeit, Budget, Ressourcen)
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Abgedeckt durch ISO 27001:
A.7.2.2 Information security
awareness, education and training
Ziele
• Richtiges Mitarbeiterverhalten bei Risiken und Vorfällen
• Akzeptanz für Benutzerweisung und Schutzmassnahmen
• Stärkung der IT und Informationssicherheit
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP Security Awareness Methodik
„Die wertvollsten Einsichten werden am spätesten
gefunden, aber die wertvollsten Einsichten sind die
Methoden.“
Friedrich Wilhelm Nietzsche
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP Security Awareness Vorgehensweise
• Erstellen eines
Unternehmensprofils
• Awareness
Assessment, inkl. GAP
Analyse
• Awareness Maturity
Level Report
• Vergleich des IstZustands und des
angestrebten SollZustands
• Anpassung &
Optimierung, falls
nötig
1. Erstellen eines
Awareness
Profils
2.Awareness
Planung
4. Optimierung
3. Transformation
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
• Communication,
Education & Training
Konzept
• Awareness
Verbesserungsplan
• Entwurf, Produktion &
Implementation der
Maßnahmen
• Support des internen
Kernteams
Security Awareness Portfolio
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Beispiele von Security Awareness
Kampagnen
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Beispiel 1: SIX Group
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Beispiel 2: IWC
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Beispiel 3: ZHAW
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP Awareness Program
Was ist Awareness?
•
… ist das Bewusstsein für Risiken und die Akzeptanz und das Wissen
darüber, wie die Risiken mit technischen und organisatorischen
Mitteln minimiert werden können.
•
Akzeptanz gegenüber Neuem!
•
…beschreibt die Kultur im Unternehmen, innerhalb derer
Mitarbeitende nachhaltig risiko- und sicherheitsbewusst agieren.
Service Übersicht
Zielgruppen
•
Alle Mitarbeitenden als Teil integrierter Kommunikation
•
Unterstützung in der Umsetzung von Awareness Maßnahmen
Was ist der Nutzen?
•
Konzepterstellung, Planung, Entwicklung und Implementierung einer
Awareness Kampagne, zugeschnitten auf die Bedürfnisse des Kunden
•
Richtiges Mitarbeiterverhalten bei Risiken und Vorfällen
•
Akzeptanz für Benutzerweisung und Schutzmaßnahmen
•
Onsite oder remote Unterstützung der Security Organisation.
•
Stärkung des Images von IT und Informationssicherheit sowie BCM
•
Project Management and Steuerung
•
•
Messungen und Benchmarking
Wettbewerbsvorteil durch einen aktiven Schutz von Know-how
und ein positives Bewusstsein der Mitarbeitenden bezüglich
Risiken, Sicherheit und BCM
18 © Copyright 2013 Hewlett-Packard GmbH The information contained herein is subject to change without notice.
«When planning for a year, plant corn.
When planning for a decade, plant trees.
When planning for life, train and educate people.»
Chinese Proverb
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP Security Awareness Team
Marcus Beyer
Security Awareness Consultant
[email protected]
Sarah Ahmed
Security Awareness Consultant
[email protected]
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Armin von Werner
Security Consultant
[email protected]
Martin Rapp
Project Manager & Security Consultant
[email protected]
Vorgehensweise
• Initialer Awareness Workshop (HP Consultants & interdisziplinäres Kernteam des
Kunden) mit Vertretern aus Human Resources, Legal Compliance, User Help Desk,
Corporate Communication, Information Security Organisation
• Konzeption & Planung der Awareness Kampagne
• Messung, Analyse und Benchmarking der Sicherheitskultur
• Implementation der Kampagne (inkl. Erstellung & Produktion der Massnahmen)
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Vier verschiedene Expedition –vier verschiedene

Interaktive Session: Demos, Fragen & Antworten zu HP

"New Style of Workplace" mit HP Moonshot und Citrix

Reise in eine dynamische Arbeitswelt

Guido Klenner

Text 5.10. - Change Communication

8 Inhalt

Wie erreichen Sie die sichere und schnelle Umsetzung ihrer

Aktuelle Kollektion - Decoart Bilderwelten

112 Schleifen machen

Wir suchen DICH! - Cool Company | Kälte

Gebrauchtangebote - Eschenbach

Monstazzz-Wimpelkette zum Ausmalen