Security Awareness

Zu wenig Zeit, Geld und Rückendeckung

| Redakteur: Peter Schmitz

Der Report "Securing the Human Security Awareness" des SANS Instituts nennt Mangel an Support und fehlende Soft Skills als Herausforderungen für Security Awareness-Experten.
Der Report "Securing the Human Security Awareness" des SANS Instituts nennt Mangel an Support und fehlende Soft Skills als Herausforderungen für Security Awareness-Experten. (Bild: SANS)

Das SANS Institut bewertet mit dem „Securing Human Security Awareness Report 2016“ den aktuellen Status von Sicherheitsprogrammen in aller Welt. Als wichtigste Probleme, mit denen sich Experten für Security Awareness konfrontiert sehen, nennt der Bericht Mangel an Ressourcen, Unterstützung, Zeit und Soft Skills.

Der Securing Human Security Awareness Report 2016 der Aus- und Weiterbildungsorganisation SANS Institut liefert eine detaillierte Analyse besonderer Herausforderungen, ihrer Ursachen sowie der Maßnahmen, mit denen Unternehmen diese anzugehen und zu überwinden versuchen. Als wichtigste Erkenntnisse, mit denen sich Experten für Security Awareness beschäftigen müssen, nennt der Bericht Mangel an Ressourcen, Unterstützung, Zeit und Soft Skills. Die Ausarbeitung eines ausgereiften Programms zur Stärkung des Sicherheitsbewusstseins steht somit für Unternehmen ganz oben auf der Agenda.

Dass Experten für Security Awareness-Programme in ihrer Handlungsfähigkeit eingeschränkt sind, wird ebenfalls aus dem Report deutlich: Als die drei größten Einschränkungen nannten die Befragten hier den Mangel an Unterstützung durch die Führungsebene, ein begrenztes Budget sowie Zeitmangel. Über 50 Prozent der Awareness-Mitarbeiter hat ein Budget von 5.000 US-Dollar oder weniger zur Verfügung. Nur 25 Prozent gaben ein Budget von 25.000 US-Dollar oder mehr an. Weniger als 15 Prozent des Awareness-Personals widmet sich seiner Aufgabe in Vollzeit. Über 65 Prozent der Befragten berichteten, sie würden weniger als ein Viertel ihrer Zeit auf Awareness verwenden. 35 Prozent gaben hingegen an, aus der Führungsetage nicht die notwendige Unterstützung zu bekommen.

„Die Mehrheit derer, die an der Securing the Human-Komponente arbeiten, verbringt damit bestenfalls zehn Stunden pro Woche. Überlegen wir einmal, wie gut die Sicherheit eines Unternehmen wäre, wenn das Incident-Response- oder Netzwerksicherheitsteam seiner Aufgabe lediglich zehn Stunden pro Woche nachginge: katastrophal. Dieses Problem beschränkt sich nicht nur auf kleine Unternehmen, sondert betrifft Unternehmen jeder Größe“, erklärt Lance Spitzner, Trainer für Security Awareness beim SANS Institut.

Ein großer Teil aller Security Awareness-Programme basiert auf Soft Skills wie Change Management, Lerntheorie und Verhaltensmodellierung. Security Awareness-Experten müssen ihren Mitarbeitern in einfachen, verständlichen Worten erklären, warum Awareness wichtig für sie ist und was ihre Aufgaben diesbezüglich sind. Jedoch mangelt es den Personen, die diese Programme kommunizieren, oft an den wesentlichen Soft Skills. Über 80 Prozent der Security Awareness-Mitarbeiter haben einen technischen Hintergrund und verfügen über Fähigkeiten wie Debuggen von Netzwerk-Traffic, Aufbau von Webseiten oder Sicherung eines Servers. Dies bedeutet jedoch auch, dass viele Security-Awareness-Teams die bewährten Konzepte und Techniken zur Änderung von Verhalten und Kultur nicht verstehen. „Die Kommunikationsfähigkeit ist ein weiterer fehlender Soft Skill, der jedoch unabdingbar ist. Unter Kommunikation verstehen wir das zielgerichtete Vermitteln von Inhalten an die Mitarbeiter, das Anwenden verschiedener Kommunikationsmethoden sowie das Erstellen einer Roadmap, die all dies zusammenfasst“, sagt Lance Spitzner.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44024876 / Mitarbeiter-Management)