Philipp Schaumann 3-4 Tage Workshop rund um
Firmenkultur und Informationssicherheit,
Firmenkultur
und Business Ethik,
Informationssicherheit,
Benutzersensibilisierung,
psychologische
Aspekte der Interaktion zwischen Regeln, Verboten und Firmenkultur,
Planung
von Training zu Informationssicherheit,
Spezialaspekt
Schutz vor Social Engineering
Alle Themen zusammen können in einer 4 Tage Veranstaltung sehr sinnvoll be-
und erarbeitet werden, aber auch Einzelthemen eigenen sich für Vorträge und
Workshops. Sinnvolle Vortrags- und Workshopdauern reichen von 1 Stunde bis 4
Tage.
Die Rahmenhandlung rankt sich um folgende Situation:
Sie sind explizit oder implizit verantwortlich für die Informationssicherheit in einem mittelständischen Unternehmen. Es sind leider ein paar dumme Dinge vorgefallen:
-
der
Verkaufschef hat das komische Gefühl, dass die Konkurrenz bereits vorab recht
gut über die Endsumme Ihrer Angebote informiert ist
-
bereits
zum 2. Mal in diesem Jahr ist es zu einem Virenbefall auf den internen
Desktop-Systemen gekommen
-
der
Entwicklungsleiter hatte ein Abendessen mit einem Journalisten und ein
zukünftiger Kooperationspartner war ziemlich erzürnt, Informationen über diese
geplante Kooperation in der Zeitung zu lesen
Die Firmenleitung ist sehr erzürnt und
erwartet von Ihnen, dass „diese Vorfälle abgestellt werden“.
Im Rahmen dieser
Aufgabenstellung werden folgende Themenstellungen behandelt
Thema:
Business
Ethik und Firmenkultur
-
Grundthema:
Welche Rolle spielt die Unternehmenskultur bei solchen und ähnlichen Problemen?
-
Was ist
Ethik und was sind ihre Grundlagen?
-
Ethik im
Berufsleben, das Verhalten der Mitarbeiter, welche Zusammenhänge gibt es zu
Wirtschaftskriminalität und den obigen Vorfällen?
-
Verantwortungsvolles
Handeln von Unternehmen (Share
Holder vs. Stake Holder, Nachhaltigkeit, CSR, etc.)
-
Das Gewissen
von Technikern und Wissenschaftlern
-
Spezialproblemstellung
Whistle-Blowing
-
Welche
Faktoren bestimmen eine Unternehmenskultur, welche Ausprägungen gibt es
-
Was sind Business
Ethik-Programme, was sind die Einsatzgebiete?
-
Wie können
ethische Problemstellungen / Ziel-Konflikte systematisch analysiert und fair
behandelt werden? (Gruppenarbeit auf Grundlage des 10 Schritte Lösungsmodell)
-
welche Organisationsmodelle
gibt es? Wie kann eine Firmenkultur geändert werden?
- Aspekte „sicherer“ Technik
o Ausfallsicherheit (mehrfache Redundanz, Fail-over, Retry)
o Fehlertoleranz (Bedienfehlerschutz, Benutzerführung)
o Programmierdisziplin (error handling, buffer overflow, etc.)
o Komplexitätsreduktion in Systemen
Lernziele des
Kurses zu Business Ethik und Firmenkultur
Der Student soll nach Abschluss dieses Teils des
Kurses
-
verschiedene
Grundlagen von Ethik identifizieren können
-
den
Zusammenhang und die Interaktion von Informationssicherheit mit der Unternehmenskultur
erkennen
-
ethische
Konflikte im Berufsleben erkennen und mögliche Lösungswege aufzeigen können
-
Implementierungsoptionen
eines Code of Ethics beschreiben können
-
Verfahren
kennen, mit deren Hilfe ethische Konflikte erkannt und bearbeitet werden können
und ein solches Verfahren in einer Gruppenarbeit durchprobiert haben
-
die
Problematik des Whistle Blowing einschätzen können
-
erkennen,
welche ethischen Probleme für Techniker und Wissenschaftler sich bei der Arbeit
ergeben können
-
wissen, dass
die Implementierung „sicherer Technik“ eine ethische Herausforderung ist und
Aspekte „sicherer Technik“ benennen können
-
Ideen haben,
wie eine Unternehmenskultur verändert werden kann und was dabei zu beachten ist
Thema: Vorbereitung der Problembehandlung
-
Wie kann das
o.g. Unternehmen seine Probleme angehen? (Gruppenarbeit: Erstellung eines
Rahmen-Konzepts)
-
Problemakzeptanz
-
Problemanalyse
(zu den Wurzeln)
-
Erarbeitung
eines groben Lösungskonzepts (Zerlegung in einzelne Komponenten)
-
Sensibilisierung
und Buy-in der Geschäftsleitung (Unternehmensleitlinien)
Lernziele des
Kurses zu Vorbereitung
der Problembehandlung
Der Student soll nach Abschluss dieses Teils des
Kurses
-
darüber
nachgedacht haben, wie solche Aufgabenstellungen umfassend angegangen werden
können
-
Methoden
kennen, wie ein Problem tiefer analysiert werden kann
-
erkennen,
dass ohne eine deutlich sichtbare Unterstützung „von oben“ solche Veränderungen
nicht möglich sind und auf Widerstand stoßen werden
Thema:
Metrik der
Informationssicherheit
-
Zweiter
Schritt: Ist-Aufnahme. Kann Sicherheitsbewusstsein und Unternehmenskultur
gemessen werden? (Metrik der Informationssicherheit) – diverse Gruppenarbeiten
-
Benchmark an
Hand von Best-Practise Dokumenten (ISO 17799, CobiT, u.a.)
-
Messung der
Effektivität von technischen und organisatorischen Maßnahmen
-
Messung des
Sicherheitsbewusstseins (Wissen, Verhalten und Einstellung) der Mitarbeiter
-
Thema
Motivation der Mitarbeiter (F.Herzberg) – „Dienst nach Vorschrift“
Lernziele des Kurses zu Metrik der Informationssicherheit
Der Student
soll nach Abschluss dieses Teils des Kurses wissen,
-
was wir unter
Informationssicherheit verstehen
-
warum es
sinnvoll ist, den Stand der Informationssicherheit zu messen
-
welche
Aspekte Informationssicherheit hat und wie ich diese jeweils messen kann
-
welche
Verfahren es gibt um das Sicherheitsbewusstsein der Mitarbeiter zu messen
-
welche Rolle
die Motivation der Mitarbeiter für das Unternehmen spielt
-
welche
Faktoren als Motivatoren betrachtet werden und was „Hygiene-Faktoren“ sind
-
wie
Motivation messbar ist und wie dies mit den „Humankriterien zur Gestaltung von
Arbeit“, ISO-Norm, zusammenhängt
Thema:
Informationssicherheitskonzept
-
Dritter
Schritt: Erstellung eines Informationssicherheitskonzepts (Security Policy,
Klassifizierung von Daten und Informationen)
Lernziele des
Kurses zu Informationssicherheitskonzept
Der Student soll nach Abschluss des Kurses
-
wissen,
welche Aspekte als Teil einer Security Policy behandelt werden sollten
-
die Standards
kennen, auf die eine solche Policy gestellt werden kann
-
Vorgehensweisen
zur Erstellung kennen
-
Verschiedene
Modelle der Sicherheitsorganisation kennen
-
die
Klassifizierung von Daten und Systemen durchführen können
Thema:
Psychologie von Regeln und Verboten
-
Die
Subjektivität von Sicherheits- und Unsicherheitsgefühlen, reale vs. irreale
Bedrohungen.
-
Welche
grundsätzlichen Typen von Anwendern finden, welche Fehler werden gemacht
-
was sind
grundsätzliche Haltungen von Anwendern gegenüber IT-Sicherheitsaspekten?
-
Warum gibt
es in vielen Firmen Probleme bei der Einhaltung der Regeln?
-
Was bedeuten
Rechte, Privilegien und Verbote für die Mitarbeiter? (Status-Problematik)
-
Detailthemen:
die Einstellungen der Mitarbeiter zu Passworten, privaten E-Mails, Malware
(Schadsoftware), Clean Desk Regeln und Bildschirmsperren und Namensschildern
-
Wir wirken
Regeln, Unternehmenskultur und Arbeitsklima zusammen?
-
Gegen welche
Bedrohungen muss ein Unternehmen sich schützen?
-
Wie können
Regeln zu den o.g. Problemen erstellt werden, die auch beachtet werden
(können)? Beispiele für konkrete Regelungen.
Lernziele des
Kurses zu Psychologie
von Regeln und Verboten
Der Student soll nach Abschluss des Kurses wissen,
-
dass das
menschliche Bewusstsein für Risiken eine objektive realistische Einschätzung
nicht unterstützt und dass ein Null-Risiko (normalerweise) auch nicht
angestrebt wird
-
dass die
Mitarbeiter mit ganz unterschiedlichen Ansätzen die IT-Geräte nutzen und dass
unterschiedliche Probleme entstehen
-
dass die
Mitarbeiter zumeist eine ambivalente Haltung gegenüber IT-Leuten und IT-Problemstellungen
haben
-
dass oft
Fragen des Status einen vernünftigen Umgang mit sinnvollen Regelungen
erschweren
-
dass die
Einstellung der Mitarbeiter bezüglich solcher Regelungen oft durch ambivalente
Gefühle geprägt wird, die von den Sicherheitsspezialisten in dieser Form nicht
realisiert werden und dass daraus starke Widerstände resultieren können
-
dass eine
starke gegenseitige Interaktion zwischen solchen Regelungen und der
Unternehmenskultur und dem Betriebsklima gibt
-
dass die
Bedrohungslandschaft sich seit 2005 deutlich verschoben und verstärkt hat
-
wie
Regelungen aussehen können, die die Mitarbeiter da abholen, wo sie mit ihren
Gefühlen stehen
Thema:
Spezialfall Social Engineering und Phishing
-
Was ist Social
Engineering? Welche
unterschiedlichen Angriffsformen werden darunter verstanden? Wie sieht die
systematische Vorgangsweise der Angreifer aus?
-
welche
unerwünschten und oft gleichzeitig erwünschten Verhaltensweisen der Mitarbeiter
werden von den Angreifern ausgenutzt?
-
Welche
Konflikte entstehen für die Mitarbeiter im Kundenkontakt?
-
wie kann das
Unternehmen bei der Auflösung dieses Konflikts helfen?
o traditionelle Vorgehensweisen
o konkrete Trainingsvorschläge auf
psychologischer Basis
o Unterstützung durch geeignete Tools
(CRM-System) und in der Organisation
Lernziele des
Kurses zu Social
Engineering
Der Student soll nach Abschluss des Kurses wissen,
-
dass Social
Engineering menschliche Schwächen und Stärken ausnutzt, die zum Teil zumindest
durchaus im Unternehmen erwünscht sind
-
dass solches
Verhalten nicht durch das Erlassen von Regeln allein verändert werden kann
-
welche
Möglichkeiten Unternehmen haben, ihre Mitarbeiter bei der Erkennung von Social
Engineering Angriffen unterstützen
-
wie kann das
Unternehmen die Mitarbeiter beim Umgang mit Zweifelsfällen unterstützen
-
welche
technischen Tools können hilfreich sein
-
was ist
Out-of-Band-Kommunikation
Thema: Training zu Sicherheitsbewusstsein / Security Awareness - Wissensvermittlung und Verhaltensmodifikation
-
Definition
von Zielgruppen und den jeweiligen Lernzielen und Methoden (Gruppenarbeit)
-
die
Unterschiede Wissensvermittlung vs. Verhaltensänderung,
-
Trainingskonzepte,
Aspekte der Vermittlung, aktiv vs. passiv
-
Methoden zur
Veränderung der Unternehmenskultur und Verhaltensmodifikation, das
NASA-Beispiel
-
Großgruppen-Veranstaltungen
für umfassende Veränderungen in Unternehmen
Lernziele des
Kurses zu Training: Sicherheitsbewusstsein / Security Awareness
Der Student soll nach Abschluss des Kurses wissen,
-
dass ein
solches Training für unterschiedliche Zielgruppen unterschiedliche Inhalte
vermitteln muss
-
dass
Wissensvermittlung evtl. noch durch Vorträge erreicht werden kann, aber sich
keine Verhaltens- oder Bewusstseinsmodifikationen
-
wie bei der
NASA versucht wird, die Unternehmenskultur grundlegend zu verändern
-
welche
Möglichkeiten für Verhaltens- oder Bewusstseins-Veränderungen es gibt
Literaturliste zu Business Ethik und
Unternehmenskultur
Links zu weiterführenden Texten finden sich auf
https://sicherheitskultur.at/technik.htm
https://sicherheitskultur.at/business_ethik.htm
„Sichere Technik“ ist der rote Faden, der sich durch den CAIB Report
zur Columbia-Katastrophe führt. Links dazu und genauere Kapitelhinweise auf
meiner Website.
Literaturliste zu Metrik der Informationssicherheit
Links zu weiterführenden Texten finden sich auf
https://sicherheitskultur.at/Trainingskonzept.htm#ist
Literaturliste zu Informationssicherheitskonzept
Links zu weiterführenden Texten finden sich auf
https://sicherheitskultur.at/Eisbergprinzip.htm#policy
Literaturliste zu Psychologie von
Regeln und Verboten
Links zu weiterführenden Texten finden sich auf
https://sicherheitskultur.at/Trainingskonzept.htm#psycho
Literaturliste zu Social Engineering
Links zu weiterführenden Texten finden sich auf
https://sicherheitskultur.at/social_engineering.htm
Literaturliste zu Training: Sicherheitsbewusstsein / Security Awareness - Wissensvermittlung und Verhaltensmodifikation
Links zu weiterführenden Texten finden sich auf
Kontakt
Anregungen, Kritik, Feedback über die Kontaktseite.