Das interne Risiko für Unternehmen ist potenziell höher als externe Sicherheitsbedrohungen. Mitarbeiter spielen eine wichtige Rolle bei Sicherheitsverletzungen – mehr als 58% der großen Organisationen haben eine Sicherheitsverletzung durch ihre Mitarbeiter erfahren.*
Von bekannten Sicherheitsagenturen, die Laptops in Taxis vergessen, über ein Krankenhaus, das entdecken muss, dass seine ausgemusterten Festplatten auf E-Bay verkauft werden, bis hin zu HM Revenue & Customs, das zwei CDs mit mehr als 25 Millionen persönlichen Dateien in der Post verliert ... Die Gefahr, die von den eigenen Mitarbeitern ausgeht, ist so groß wie nie zuvor.
Ich beleuchte hier vier simple und preiswerte Möglichkeiten, Ihr Unternehmen vor Mitarbeiterfehlern, Betrug und böswilligem Verhalten im Bereich der Cyber-Sicherheit zu schützen.
1. Sicherheitsschulungen:
Wenn Mitarbeiter sich Risiken bewusst sind, treten weniger Vorfälle auf. Bringen Sie Benutzern bei, sichere Passwörter einzurichten, erklären Sie Ihnen die Vorgehensweisen von Phishing- und Malwareangriffen in E-Mails und zeigen Sie Ihnen, wie wichtig Best Practices für den Datenschutz und die Datensicherung sind. Klar definierte Verfahren im Falle eines Fehlers können die Folgen einer Sicherheitsverletzung effektiv begrenzen.
2. Managen Sie Benutzerrechte:
Nutzen Sie strenge Passwort- und Account-Managementrichtlinien, überwachen Sie die Zugriffsrechte genau und erweitern oder begrenzen Sie sie immer entsprechend den Geschäftsanforderungen. Sie sollten in Systeme zur Risikoerkennung investieren, um auffällige Aktivitäten zu überwachen und zu melden. Achten Sie besonders auf die Zugriffsrechte von Systemadministratoren und Benutzern mit besonderen Privilegien.
3. Screenings vor der Einstellung:
Einfach aber effizient. Sie sollten alle neuen Mitarbeiter überprüfen, um sicherzugehen, dass Sie ihnen vertrauen können. Schließlich können sie auf umfangreiche persönliche und geschäftliche Daten zugreifen. Mittlerweile ist es Best Practice geworden, die Social-Media-Profile von neuen Mitarbeitern und ihr Verhalten in diesen Netzwerken zu prüfen, um extreme Ansichten oder ideologische Aktivitäten zu identifizieren, die das Unternehmen gefährden könnten.
4. Systemzugriff bei Kündigung deaktivieren:
Hier geht es um genaues Timing. Auch wenn Sie über geeignete Richtlinien verfügen, müssen HR und IT effektiv miteinander kommunizieren, damit der Systemzugriff von ehemaligen Mitarbeitern umgehend nach deren Kündigung deaktiviert wird. Dadurch verhindern Sie, dass Mitarbeiter sich nach der Beendigung ihres Angestellten-verhältnisses aus der Entfernung in Ihr System einloggen.
Meistens sind es die kleinen Details, die die größten Probleme verursachen. Menschliche Fehler und die Gelegenheit für böswillige Verhaltensweisen können Organisationen viel mehr schädigen als Hacking-Angriffe.
Befolgen Sie diese vier Schritte, führen Sie einfache, klar verständliche Richtlinien ein und sorgen Sie für eine effiziente Kommunikation, um die internen Risiken so gering wie möglich zu halten und aktiv die unternehmensweite Cyber-Sicherheit zu stärken.
*www.gov.uk/government/publications/information-security-breaches-survey-2014
==========
Ihr Ansprechpatrtner für Cyberversicherung in Deutschland: René Ehlen
Folgen Sie CNA Hardy auf XING