• +49 (0)89 - 45 22 094 0
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

3 - 5 Minuten Lesezeit

Die Automatisierung wiederkehrender Prozesse liegt derzeit voll im Trend. Richtig umgesetzt werden so Ressourcenaufwände reduziert und – ganz allgemein formuliert – Qualität und Quantität von Output erhöht. Wie lassen sich Maßnahmen zur Automatisierung auch auf den Bereich von IT-Security-Awareness und -Training (Stichwort "Human Factor") übertragen?

Im Buzzword-Bingo, irgendwo zwischen Blockchain und Machine Learning, wird regelmäßig auch Automatisierung als zentraler Treiber für die digitale Transformation genannt. IT-Verantwortliche sehen dies in der Regel nicht besonders euphorisch, sondern ziemlich sachlich. So ist die intelligente Erledigung von (wiederkehrenden) Aufgaben mit Hilfe effizienter Technologie ja schon immer Teil der Informationstechnologie.


Proofpoint Security Awareness Training: im kostenlosen Online-Hands-On
 

Automatisierung in der IT-Security-Sensibilisierung von Mitarbeitern: den "Human Factor" wegautomatisieren?

Mit der Netzwerk-, Kommunikations- und Sicherheitsinfrastruktur in Unternehmen haben IT-Sicherheitsverantwortliche bereits etliche Herausforderungen auf ihrem Tisch, bei denen es gilt, intelligente Automatisierung abzuwägen.

Als "Human Factor" landet nun, neben der Bereitstellung der technischen Infrastruktur, auch das Wissen und Verhalten einzelner Mitarbeiter mehr und mehr im Verantwortungsbereich von IT-Security-Entscheidern.

Reports und Studien liefern unwiderlegbar den Beweis: Der End-User ist das Zünglein an der Waage der Cyber-Sicherheit in Unternehmen. Was er oder sie tut – bzw. viel mehr was er oder sie unterlässt zu tun – entscheidet über die IT-Sicherheit der Organisation.

Nahezu alle Cyber-Vorfälle der letzten Monate hatten eines gemeinsam: Die Unachtsamkeit einzelner Mitarbeiter/innen öffnete hochgefährlicher Malware und Trojanern Tür und Tor zum Unternehmensnetzwerk.

Man möchte sagen: Unüberlegtes Mitarbeiterverhalten in der IT-Sicherheit ist tatsächlich eine wiederkehrende Herausforderung. Das lässt den Schluss zu, dass sich dies systematisch anpacken lässt: Es besteht Potenzial für Automatisierung.


Algorithmen liefern auf einzelne Mitarbeiter zugeschnittene Empfehlungen – auch für IT-Security-Trainings.

Möglichkeiten der Automatisierung für IT-Security-Trainings in Unternehmen

IT-Security-Trainings in Unternehmen automatisieren, das klingt bereits effizient. Wissensdefizite und Verhalten der Belegschaft in Bezug auf die IT-Sicherheit automatisiert in den Griff bekommen? Insbesondere für Großunternehmen und Konzerne wird dies zum wünschenswerten Ansatz.

Wie sieht’s also aus in der Praxis? Nachfolgend, die aus unserer Sicht wesentlichen, vier Aspekte für Automatisierung von IT-Security-Trainings:

(1) Algorithmen für Assessments und individuelle Schulungsempfehlungen

Klar, die Kollegen aus der HR haben ganz intensiv Bedarf an IT-Sicherheits-Trainings. Und die aus der Marketingabteilung? Erst recht. Sie ahnen es: Nur mit Vorurteilen kommen Sie nicht weit, um den tatsächlichen IT-Sicherheits-Schulungsbedarf innerhalb der Organisation faktisch festzustellen.

In diesem Zusammenhang sei exemplarisch die Proofpoint-Studie"State of the Phish" erwähnt. Sie belegt eindeutig: Ausgerechnet die Digital Natives haben einen höheren Cyber-Security-Schulungsbedarf als ihre älteren Arbeitskollegen.

Erst die systematische Bewertung des Cyber-Sicherheitsbewusstseins im gesamten Unternehmen identifiziert den tatsächlichen Weiterbildungsbedarf. Diesen Datenpool gilt es zu generieren, um Erkenntnisse entsprechend in der Schulungspraxis (z.B. für individuelle Follow-Up-Trainings) zu nutzen – ohne automatisierte Prozesse ist dies kaum unternehmensweit realisierbar.

(2) Automatisiert „aufschlauen“: mit IT-Security-Schulungszuweisungen

Lernende dort abholen, wo sie stehen. Nicht überfordern, nicht unterfordern. Was einfach klingt, ist für die Personalentwicklung und Weiterbildung eine der größten Herausforderungen. Schließlich gilt es Lerninhalte so zu vermitteln, dass sie wirklich Wirkung erzielen.

Auch hier bieten technologiegestützte Methoden einen Mehrwert: Automatisiert zugewiesene und versendete Lern-Module an spezifische User, Teams, Abteilungen oder Unternehmensbereiche – basierend auf den vorangegangenen Erhebungen zum IST-Zustand – bringen den IT-Security-Lernprozess auf ein neues Niveau.

So weicht das Gießkannenprinzip personalisierten IT-Security-Trainings-Einheiten mit Varianz im Trainings-Level (Anfänger bis Fortgeschritten).

(3) Sensibilisierung und Transfer standardisieren

Lern-Transfer, also die flankierende Unterstützung von Lernprozessen, gilt als wesentlicher Faktor für den Lernerfolg. Dies gilt auch für IT-Security-Awareness und Trainings. Die Interaktionspunkte für End-User können hier vielseitig sein, je nach Unternehmenskultur und Umfeld. Von flankierenden Aufklärungs-Kampagnen über Compliance-Vorgaben bis zur Integration von Lern-Prozessen in den Arbeitsalltag und sowie der Nutzung von echten Bedrohungen für Education-Zwecke.

Moderne IT-Security-Lern-Plattformen bieten dafür, in einer benutzerfreundlichen Oberfläche, die Möglichkeit, in der jeweiligen Sprache zum jeweiligen Thema Inhalte wie Infografiken, Lern-Artikel, Erklärvideos und vieles mehr bereit zu stellen.

Fachbezeichnung für diese systematische Verwaltung von Lern-Inhalten: asset-basiertes Management von IT-Security-Learning-Content.

(4) Fortlaufende Wirkungsüberprüfung durch Echtzeit-Evaluation

Je vielschichtiger Ihre Organisation ist, desto komplexer werden Organisationseinheiten und Strukturen. Sollen alle End-User in den Genuss von IT-Sicherheits-Weiterbildung kommen, wird die zugehörige Datengrundlage riesig, insbesondere wenn Sie den granularen Blick wagen.(Der immer wieder faszinierend ist, Spoiler-Alarm.)

So oder so: Automatisierte Reportings werden zwangsläufig notwendig. In diesem Zusammenhang empfehlen sich auch Benchmark-Funktionalitäten: Wie schneidet Ihre Organisation im Branchenvergleich ab?

Automatisierte Evaluations- und Reporting-Vorgänge verbessern Ihre Möglichkeiten zur Einsicht und Transparenz: erst die automatisierte Aufbereitung der für Sie relevanten Informationen liefert die notwendigen Insights über den effektiven ROI. Konkret in Bezug auf IT-Security-Weiterbildung: Kennzahlen über das Wissen und Verhalten sollten mehr und mehr die wichtigste Grundlage für die Einschätzung Ihres effektiven IT-Sicherheitsniveaus darstellen.

Fazit: Automatisierte Interaktion bietet Mehrwert für IT-Security-Weiterbildung

In Summe halten wir fest: automatisierte Interaktion bietet immense Verbesserungspotenziale für die Durchführung von Lernprozessen in der IT-Sicherheit. Von Awareness / Bewusstsein über Know How / Wissen bis zum tagtäglichen Verhalten in Bezug auf Cyber-Bedrohungen.

Gerne zeigen wir Ihnen dies auch für Ihre Organisation auf: Sprechen oder schreiben Sie uns an.

Oder probieren Sie die marktführende Lösung für IT-Security-Awareness und Training, Proofpoint Security Awareness Training, gleich selber aus: im kostenlosen Online-Hands-On.

Ähnliche Artikel

Wie funktioniert Zscaler im Proof of Concept? Jetzt Erfahrungen mit Zscaler machen

Sie haben in Ihrer Organisation den konkreten Handlungsbedarf im Zuge der Cloud-Transformation erkannt? Als zukunftssicheres Konzept für Netzwerk und Sicherheit fassen Sie Zscaler ins Auge? Dann ist es Zeit für einen kostenlosen Test von Zscaler, um eigene Erfahrungen mit Zscaler zu machen. Hier finden Sie detaillierte Informationen zum Ablauf einer Proof-of-Concept-Phase mit Zscaler.

Treffen Sie Zscaler auf der it-sa 2019: exklusiv am CYQUEO-Stand

Vom 8. bis 10. Oktober findet in diesem Jahr wieder die it-sa statt. Rund 15.000 Besucher und so viele Aussteller wie nie zuvor werden zur weltweit wichtigsten IT-Sicherheitsfachmesse in Nürnberg erwartet. CYQUEO ist wieder vor Ort. In diesem Jahr exklusiv mit am Stand: unser langjähriger Partner Zscaler.

E-Mail-Security: Wie erkennen Sie das schwächste Glied in der Kette?

Dubiose Zahlungsaufforderungen, Zero-Day-Attacken, Phishing-Angriffe, „Advanced Threats“ – diese Betrugstaktiken sind jedem Internetnutzer bekannt. Dennoch sind rund 90% aller Cyberangriffe auf eine einzige E-Mail zurückzuführen. Der Grund: E-Mail-Sicherheit erhält keine hohe Priorität in Unternehmen. Dabei gilt es E-Mail-Security als komplexes Konstrukt zu betrachten.

Wissenswertes und regelmäßige IT-Security-Updates direkt über E-Mail erhalten?

Wir haben festgestellt, dass Abonnenten unseres Newsletters früher Bescheid wissen, besser informiert sind und rund 46,8% cooler sind.



CYQUEO Newsletter
Please wait

Lassen Sie uns gemeinsam loslegen

Wir unterstützen Sie gerne!

Servus aus München

A gscheids Haferl Kaffee
hat´s hier:

CYQUEO
Kistlerhofstraße 75
D-81379 München

Anrufen

Alle Klarheiten beseitigt?
Rufen Sie uns an! Unser Team berät Sie
qualifiziert und ehrlich zur bestmöglichen
IT-Security für Ihr Unternehmen.

+49 89 45 22 094 - 40

Wir rufen Sie zurück

Ich habe die Datenschutzerklärung gelesen und akzeptiert.