CIS Control 14: Sicherheitsbewusstsein und Kompetenzschulung

CIS Control 14 befasst sich mit der Implementierung und dem Betrieb eines Programms, das das Bewusstsein und die Fähigkeiten der Mitarbeiter in Bezug auf Cybersicherheit verbessert. (Vor CIS Critical Security Controls Version 8 wurde dieser Bereich von CIS Control 17 abgedeckt.)
Diese Kontrolle ist wichtig, weil ein Mangel an Sicherheitsbewusstsein unter den Personen in Ihrem Netzwerk schnell zu verheerenden data breachen, Ausfallzeiten, Identitätsdiebstahl und anderen Sicherheitsproblemen führen kann. Zum Beispiel manipulieren Hacker oft Mitarbeiter, um bösartigen Inhalt zu öffnen und geschützte Informationen preiszugeben, und nutzen dann schlechte Unternehmenspraktiken, wie das Teilen von Passwörtern, um weiteren Schaden anzurichten.

Warum Cybersicherheitstraining unerlässlich ist

Forschungen zeigen Folgendes über die Ursachen von Datenpannen:

• Ungefähr 30% der Vorfälle sind auf menschliche Fehler zurückzuführen, wie das Senden sensibler Informationen an die falsche Person oder das Verlassen eines Computers in einem ungesicherten Zustand, der unbefugten Zugang zu Systemen und Daten ermöglicht.
• Weitere 28% der Datenverletzungen sind auf Phishing-Angriffe zurückzuführen, bei denen Mitarbeiter E-Mails mit Viren oder Keyloggern öffnen.
• Schwache password policies sind für etwa 26% aller Datenpannen verantwortlich. Beispielsweise erhöhen die Verwendung von gemeinsam genutzten Passwörtern und die Zulassung einfacher Passwörter das Risiko einer Datenpanne erheblich.

Leider führen weniger als 25% der Organisationen regelmäßig vulnerability assessments durch, 43% geben zu, dass sie unsicher sind, was ihre Mitarbeiter mit sensiblen Daten und anderen Ressourcen tun, und nur 17% haben einen Vorfallreaktionsplan. Um sich zu schützen, muss Ihre Organisation in der Lage sein, Folgendes zu tun:

• Führen Sie regelmäßig IT-Sicherheitstests durch
• Erkennen Sie Datenverletzungen in ihren frühen Stadien
• Reagieren Sie schnell auf Sicherheitsvorfälle
• Ermitteln Sie den Umfang und die Auswirkungen eines Sicherheitsvorfalls
• Haben Sie einen Plan für die Wiederherstellung betroffener Daten, Dienste und Systeme

Wie CIS Control 14 helfen kann

CIS Control 14 kann Ihnen dabei helfen, die Cybersicherheit und den Datenschutz in Ihrer Organisation zu stärken sowie Compliance-Audits zu bestehen. Es basiert auf den folgenden Schritten:

14.1 Etablieren und Pflegen eines Sicherheitsbewusstseinsprogramms

Ihr Sicherheitsbewusstseinsprogramm sollte sicherstellen, dass alle Mitglieder Ihrer Belegschaft die richtigen Verhaltensweisen verstehen und zeigen, die zur Aufrechterhaltung der Sicherheit der Organisation beitragen. Das Sicherheitsbewusstseinsprogramm sollte ansprechend sein und regelmäßig wiederholt werden, damit es den Mitarbeitern stets präsent bleibt. In einigen Fällen ist eine jährliche Schulung ausreichend, aber wenn Mitarbeiter neu in den Sicherheitsprotokollen sind, könnten häufigere Auffrischungen notwendig sein.

14.2 Schulung der Mitarbeiter zur Erkennung von Social-Engineering-Angriffen

Die nächste bewährte Methode besteht darin, Ihre gesamte Belegschaft darin zu schulen, Social-Engineering-Angriffe zu erkennen und zu identifizieren. Stellen Sie sicher, dass Sie die verschiedenen Arten von Angriffen abdecken, einschließlich Telefonbetrug, Imitationsanrufe und Phishing-Betrug.

14.3 Schulung der Mitarbeiter zu Best Practices für die Authentifizierung

Sichere Authentifizierung blockiert Angriffe auf Ihre Systeme und Daten. Die Mitglieder der Belegschaft sollten verstehen, warum sichere Authentifizierung wichtig ist und welche Risiken mit dem Versuch verbunden sind, unternehmensinterne Prozesse zu umgehen. Zu den gängigen Authentifizierungstypen gehören:

• Passwortbasierte Authentifizierung
• Multifaktor-Authentifizierung
• Zertifikatsbasierte Authentifizierung

14.4 Schulung der Mitarbeiter zu Best Practices im Umgang mit Daten

Mitarbeiter benötigen auch Schulungen zum richtigen Umgang mit sensiblen Daten, einschließlich der Identifizierung, Speicherung, Archivierung, Übertragung und Vernichtung sensibler Informationen. Zum Beispiel kann das grundlegende Training beinhalten, wie sie ihre Bildschirme sperren, wenn sie sich von einem Computer entfernen und sensible Daten von einem virtuellen Whiteboard zwischen den Meetings löschen.

14.5 Schulung der Mitarbeiter zu Ursachen unbeabsichtigter Datenoffenlegung

Ursachen für unbeabsichtigte Datenfreigaben umfassen den Verlust von Mobilgeräten, das Versenden von E-Mails an die falsche Person und das Speichern von Daten an Orten, an denen autorisierte Benutzer sie einsehen können. Stellen Sie sicher, dass Ihre Mitarbeiter ihre Veröffentlichungsoptionen verstehen und die Wichtigkeit der Sorgfalt beim Umgang mit E-Mails und Mobilgeräten kennen.

14.6 Schulung der Mitarbeiter zum Erkennen und Melden von Sicherheitsvorfällen

Ihre Belegschaft sollte in der Lage sein, gängige Anzeichen von Vorfällen zu erkennen und zu wissen, wie sie diese melden. Wen rufen sie an, wenn sie vermuten, dass sie eine Phishing-E-Mail erhalten haben oder ihr Firmenhandy verloren gegangen ist? Um den Prozess zu vereinfachen, erwägen Sie, eine Person als ersten Ansprechpartner für alle Vorfälle zu bestimmen.

14.7 Schulen Sie Benutzer darin, zu erkennen und zu melden, wenn ihren Unternehmensressourcen Sicherheitsupdates fehlen

Ihre Belegschaft sollte in der Lage sein, ihre Systeme zu testen und Softwareaktualisierungen zu melden, die veraltet sind, sowie Probleme mit automatisierten Werkzeugen und Prozessen. Sie sollten auch wissen, wann sie das IT-Personal kontaktieren müssen, bevor sie ein Update akzeptieren oder ablehnen, um sicherzustellen, dass ein Update benötigt wird und mit der aktuellen Software auf dem System funktioniert.

14.8 Schulung der Belegschaft über die Gefahren beim Verbinden mit und Übertragen von Unternehmensdaten über unsichere Netzwerke

Jeder sollte sich der Gefahren bewusst sein, die mit der Verbindung zu unsicheren Netzwerken verbunden sind. Fernarbeitende sollten zusätzliches Training erhalten, um sicherzustellen, dass ihre Heimnetzwerke sicher konfiguriert sind.

14.9 Durchführung von sicherheitsbewussten und fachspezifischen Schulungen

Passen Sie Ihre Sicherheitsschulungen und Fähigkeitstrainings basierend auf den Rollen der Benutzer an, um sie effektiver und ansprechender zu gestalten. Beispielsweise sollten Sie ein fortgeschrittenes Bewusstseinstraining für Social Engineering für hochrangige Rollen in Betracht ziehen, die wahrscheinlich Ziel von Spear-Phishing- oder Whaling-Angriffen sind.

Zusammenfassung

Die Einführung eines Sicherheitsbewusstseins- und Fähigkeitstrainings, wie in CIS Control 14 detailliert beschrieben, kann Ihrer Organisation helfen, die Cybersicherheit zu stärken. Tatsächlich kann die Bereitstellung eines effektiven und regelmäßigen Trainings dazu beitragen, verheerende Datenverletzungen, Diebstahl geistigen Eigentums, Datenverlust, physische Schäden, Systemunterbrechungen und Compliance-Strafen zu verhindern.