Schweizer Polizei Informatik Kongress 31. März 2011 — Stade de Suisse, Bern Security-Awareness der Mitarbeitenden Virtual Training City

AGENDA Ergonomics AG Virtual Training City

Ergonomics AG

Daniel Messerli Head of Security Consulting ERGONOMICS AG Marktgasse Bern Mobile: +41 (0) Office: +41 (0) Ansprechpartner

Ergonomics AG Sitz in Zürich Schaffhauserstrasse Zürich Niederlassung in Bern Marktgasse Bern Gegründet 1991 Privat gehaltene Aktiengesellschaft

Ergonomics AG Software Engineering Software Consulting Security Consulting Security Products & Professional Services Mobile Enterprise Solution Tochterfirma e24 AG - Leading Mobile Payment Solution Provider Business Units

Ergonomics AG Informationssicherheitsmanagement ISDS-Konzepte (nach Hermes) Awareness Projektleitung / Projektunterstützung nach Hermes Projektmanagement und Koordination Vor- und Machbarkeitsstudien, Grob- und Detailkonzepte Schulung Aufbau Service Organisationen Security Consulting

Ergonomics AG SafeNet E-SEC Vasco Entrust Becrypt Security Products & Professional Services

Security-Awareness der Mitarbeitenden

Jürg Schöni Senior Consultant - Security Consulting ERGONOMICS AG Marktgasse Bern Mobile: +41 (0) Office: +41 (0) Referent / Ansprechperson

Security-Awareness der Mitarbeitenden WAS ?Security Awareness = Sensibilisierung der Mitarbeiter im Umgang mit Daten und Informationen jeglicher Art WER ?Risikofaktor Mensch – Mitarbeiter Nahezu 80% aller auftretenden Sicherheitsvorfälle in Unternehmen resultieren aus dem Fehlverhalten der Mitarbeiter WARUM ?Mitarbeiter sind meist unwissentlich die häufigste Schwachstelle WO ?Betroffen sind ALLE Unternehmen, in welchen Daten und Informationen ver- bzw. bearbeitet werden FAKTEN

Security-Awareness der Mitarbeitenden Gefahrenbereiche nach kes Studie (2008)

Security-Awareness der Mitarbeitenden Herausforderungen

Security-Awareness der Mitarbeitenden Lernpsychologie

Security-Awareness der Mitarbeitenden Modell einer Awareness - Kampagne Level Sicherheitsbewusstsein Fyler Schreiben Direktion Internes Marketing PHASE 1 Bekanntmachung Kreative, interaktive Awareness-Software Schulungsverantstaltunge n Persönliche Schulungen Aufbereitetes Druckmaterial PHASE 2 Wissensvermittlung Themenschwerpunkte mit Awarenessüberprüfung Gewinnspiel Newsletter Broschüren PHASE 3 Dokumentierte Nachhaltigkeit Kundenzeitschrift Pressemitteilung Kundenmitteilung PHASE 4 Öffentlichkeitsarbeit

Security-Awareness der Mitarbeitenden Nachhaltiges Lernen

Virtual Training City

Die Mitarbeiter des Unternehmens navigieren in Ihrem Browser durch das virtuelles Unternehmen. An den Ihrem Arbeitsalltag entsprechenden Stellen erfahren die Mitarbeiter auf interaktive, multimediale Art alle Aspekte zu den Sicherheitsrichtlinien im Unternehmen. Sicherheit erleben

Virtual Training City Höchstmöglicher Lernerfolg in der dritten Dimension Information an nachvollziehbarer Ort und Stelle Lerninhalte sind interaktiv Mitarbeiter trainieren die Richtlinien Spannende Inhalte zum selber Mitmachen

Virtual Training City Virtual Training City ist ein bewusstseins bildendesTraining Alle Mitarbeiter werden nachhaltig und nachweisbar geschult Spannende Inhalte zum selber Mitmachen

Virtual Training City Situationen anhand von realen Szenen Tatsächliches Lernen auf effiziente und produktive Art Was Mitarbeiter schätzen

Virtual Training City Situationen anhand von realen Szenen Tatsächliches Lernen auf effiziente und produktive Art Zertifikat nach erfolgreichem durcharbeiten Methode um interne Richtlinien effizient zu kommunizieren Was Mitarbeiter schätzen

Virtual Training City Situationen anhand von realen Szenen Tatsächliches Lernen auf effiziente und produktive Art Zertifikat nach erfolgreichem Durcharbeiten Methode um interne Richtlinien effizient zu kommunizieren Graphische Unterstützung für nachhaltiges Lernen Interaktives Darstellen von Verhaltensweisen Was Mitarbeiter schätzen

Virtual Training City Rollenbezogenes und Zielgruppen orientiertes Lernen Standortbezogenes Verteilen der Informationen Was Verantwortliche schätzen

Virtual Training City Rollenbezogenes und Zielgruppen orientiertes Lernen Standortbezogenes Verteilen der Informationen Überprüfung mittels Test Integrierte Kennzahlenmessung und Reporting Was Verantwortliche schätzen

Virtual Training City Rollenbezogenes und Zielgruppen orientiertes Lernen Standortbezogenes Verteilen der Informationen Überprüfung mittels Test Integrierte Kennzahlenmessung und Reporting Selbständig und einfach konfigurierbar und wartbar Beliebig erweiterbar für weitere Themenbereiche Was Verantwortliche schätzen

Virtual Training City Informationssicherheit Datenschutz (CH & EU) Brandschutz (CH & EU) Arbeitssicherheit Weitere auf Kundenwunsch Auswahl von Lerninhalten

Virtual Training City Passwortsicherheit Zutrittssysteme Datensicherheit Datenvernichtung Clear Desk Policy Besucherregelung Angriff via Telefon Gemeinsam genutzte IT Geräte Sicherheitsvorfall usw. Auswahl von Lerninhalten „Informationssicherheit“

Erleben Sie die Dynamik der Virtual Training City

Virtual Training City VTC Small Business Edition –Ist eine schlanke Lösung für kleine Umgebungen die eine kostengünstige, extern gehostete Virtual Training City vorkonfiguriert und sofort einsatzbereit für eine definierte Laufzeit benötigen. VTC Business Edition VTC Enterprise Edition VTC Entperprise Plus Edition Erhältlich in 4 Editionen

Virtual Training City VTC Small Business Edition VTC Business Edition –Unterstützt alle Anforderungen von kleinen und mittleren Umgebungen, die die Virtual Training City in ihr Intranet und Netzwerk integrieren wollen. VTC Enterprise Edition VTC Entperprise Plus Edition Erhältlich in 4 Editionen

Virtual Training City VTC Small Business Edition VTC Business Edition VTC Enterprise Edition –Unterstützt umfassende Features, die beim Einsatz in mittleren Umgebungen und nationalen und internationalen Einsätzen benötigt werden. Die Anpassungen und Konfigurationen können vom Kunden selbst durchgeführt werden. VTC Entperprise Plus Edition Erhältlich in 4 Editionen

Virtual Training City VTC Small Business Edition VTC Business Edition VTC Enterprise Edition VTC Enterprise Plus Edition –Ist nicht nur als Security Awareness Software einsetzbar, sondern integriert die volle Funktionalität eines unbegrenzt einsetzbaren Lernmanagementsystems. Erhältlich in 4 Editionen

Virtual Training City VTC Office

Virtual Training City VTC Health Care

Virtual Training City VTC Finance

Virtual Training City SERVER mind. 2GHZ, 2GB RAM, 3GB Speicher (physisch oder virtuell) Windows Server 2003 oder höher Webserver/Framework: IIS 5.1 oder höher /.NET 3.5 SQL Server 2005, 2008 (auch Express Edition); Oracle 10g, 11g; LDAP (optional): Active Directory, ADAM CLIENTS Hardware: mind. 1,4 GHZ, 1GB RAM, 1024 x 768px, 32bit Farbtiefe Thin Clients möglich Software: aktueller Browser, Flash 9+ PlugIn empfohlen NETZWERK 100Mbit bei gleichzeitigem Zugriff von 500 Usern Low-Bandwidth Version erhältlich System Requirements

Willkommen am Stand 19

Fragen

HINTERGRUND Die Mitarbeiter sind die wichtigsten Mitstreiter jedes Unternehmens. Vor allem zum Thema Informationssicherheit kann und muss der Mitarbeiter ein wichtiger Teil sein – anders kann die Sicherheit des Unternehmens heute nicht mehr gewährleistet werden! Herausforderugen: Mitarbeiter werden oft nicht ausreichend in den IT- Sicherheitsprozess eingebunden Umsetzung von ausschließlich technischen Maßnahmen Gefahrenverkennung – Einseitige Betrachtung des Bereiches IT-Security/Information Security/ etc. (Glaube alles ist mit Technik abzusichern) Kein Interesse am Mitarbeiter Fehlende Kompetenz in organisatorischen und personellen Bereichen Fehlendes Know-How über bestehende Richtlinien und Gesetze und deren (auch persönliche) Konsequenzen. Technikverliebtheit ERGONOMICS for Awareness 41

MASSNAHME SECURITY AWARENESS Bei Einsatz einer Security Awareness-Lösung sollte beachtet werden, dass sämtliche wichtige Personengruppen und Aspekte abgedeckt werden. Nur so kann eine effiziente Maßnahme gesetzt werden. Involvierte Personengruppen: ALLE Mitarbeiter ALLE Führungsebenen Dritte (Kunden, Partner, Fremde, etc.) Themenbereiche Security Awareness: Informationssicherheit Social Engineering Security Behaviour Social Engineering = Erlangen von firmeninternen Informationen durch Ausnützen von zwischenmenschlichen Beziehungen und Vortäuschung von falschen Tatsachen ERGONOMICS for Awareness 42

WICHTIGE FAKTOREN DER WISSENSVERMITTUNG Für eine effiziente und erfolgreiche Wissensvermittlung müssen folgende Faktoren berücksichtigt werden: Unternehmensbezogen: Analyse der Zielgruppen (z.B. Mitarbeiterrollen) Unternehmenskultur, Unternehmensklima Bestehende Sicherheitsrichtlinien Mitarbeiterbezogen: Lerntypen Lerngeschwindigkeit Wissensstand Generationen Standorte – interkulturelle Unterschiede ERGONOMICS for Awareness 43