Mitarbeiter Awareness - Sensibilisierung.
Ein angemessenes Maß an Informationssicherheit ohne informierte und motivierte Mitarbeiter ist nicht umsetzbar. Technische Maßnahmen können nur im Kontext mit abgestimmten organisatorischen Maßnahmen sowie dem erforderlichen Wissen und dem erforderlichen Bewußtsein der Beschäftigen im Unternehmen wirkungsvoll sein. Die nicht endende Reihe von Sicherheitsvorfällen macht klar, wie unverzichtbar die Sensibilisierung der Mitarbeiter ist.
Es stellt sich je nach Branche und Aufgabenschwerpunkt die Frage, ob Pflichtveranstaltungen wirklich ausreichend sind oder ob Datenschutz und Informationssicherheit Bestandteil der Unternehmenskultur werden sollen. Wenn Datenschutz und Informationssicherheit funktionieren sollen, müssen die Mitarbeiter ihren Teil dazu beitragen.
Ein Awareness-Konzept muss die folgenen Anforderungen erfüllen:
- Bei Beschäftigten Interesse wecken und Risiken aufzeigen
- Die Beschäftigten für mögliche Auswirkungen bzw. Schäden von Sicherheitsvorfällen auf den Geschäftserfolg der Organisation sensibilisieren.
- Die Beschäftigten auf konkrete Gefahren hinweisen und Handlungsanweisungen zu deren Abwehr vermitteln.
- Allen Beschäftigten der Organisation den von ihnen erwarteten Beitrag zur Informationssicherheit / ISMS und Datenschutz bewusst zu machen.
- Im Rahmen von Schulungsmaßnahmen die bestehenden internen Regelungen und gesetzlichen Vorgaben und Verhaltensregeln mit Bezug zur Informationssicherheit, Compliance und Datenschutz nahezubringen.
- Die Beschäftigten in die Lage versetzen im Tagesbetrieb die bestehenden internen Regelungen und gesetzlichen Vorgaben einzuhalten.
- Die Beschäftigten motivieren, Sicherheitsvorfälle bzw. Datenpannen zu erkennen und zu melden.
- Die Schulungen sollten derart gestaltet werden, dass die Beschäftigten auch im privaten Umfeld von den Awareness-Maßnahmen profitieren um die Akzeptanz zu fördern und den Beschäftigten einen Mehrwert zu bieten.