SECUTAIN-Blog

SECUTAIN auf Veranstaltungen 2018

In 2018 fin­den noch eini­ge sehr span­nen­de Veranstaltungen rund um das Thema “Informationssicherheit” statt. Wir freu­en uns, zu die­sen Veranstaltungen einen fach­li­chen Beitrag leis­ten und ent­spre­chen­de Vorträge hal­ten zu dür­fen:

 

  • 04. bis 05. September: D-A-CH Security 2018 (Gelsenkirchen) / Vortragstitel “Neue Narrative für Informationssicherheit”
  • 20. September: cybics Konferenz (Bochum) / Vortragstitel “Security Awareness 4.0”
  • 21. bis 23. November: 17. SECUTA (Garmisch Partenkirchen) / Vortragstitel “Awareness & Sensibilisierung für Informationssicherheit”
  • 20. bis zum 23. November:  DOAG 2018 Konferenz + Ausstellung (Nürnberg) / Vortragstitel “Awareness für Informationssicherheit”

 

Wir wür­den uns freu­en, Sie dort tref­fen zu dür­fen.

Ambidextrie und Informationssicherheit: Awareness durch organisationale Beidhändigkeit

Das CIO-Magazin hat auf seiner Website  jüngst einen Artikel ver­öf­fent­licht, in dem sich für die Notwendigkeit von „Ambidextrie“ (Beidhändigkeit) in der Unternehmensführung aus­ge­spro­chen wird — gera­de in Zeiten der Digitalisierung. Denn in die­sen Zeiten — so die These — stel­le die Digitale Transformation eine Organisation und damit das Management sel­bi­ger vor neue Herausforderungen. Man müs­se als Management “beid­hän­dig” agie­ren. Auf der einen Seite per­ma­nent an der Optimierung bestehen­der Modelle (Exploitation) wir­ken und auf der ande­ren Seite die inno­va­ti­ve stra­te­gi­sche Komponente der Organisation för­dern (Exploration). Nur wenn dies ins Management der Organisation über­ge­he, wären Firmen in der Lage, die Herausforderungen der digi­ta­len Transformation und die damit ver­bun­de­nen Phasen von Unsicherheit und Innovation neben den klas­si­chen Aufgaben des Führens sta­bi­ler Prozesse aus­zu­ta­rie­ren.

Hmm. Klingt ziem­lich theo­re­tisch. Was meint das denn nun kon­kret? Was hat SECUTAIN damit zu tun? Und was bedeu­tet das in unse­rem Falle für das Thema „Awareness für Informationssicherheit”?

SECUTAIN hat das Konzept der orga­ni­sa­tio­na­len Ambidextrie nach O’Reilly III und Tushman seit 2016 als einen wesent­li­chen theo­re­ti­schen Ansatz erkannt und in sei­ne stra­te­gi­sche Ausrichtung und damit unse­ren grund­le­genn­den Beratungs- und Schulungsansatz inte­griert.

Lassen Sie uns erst ein­mal ver­ste­hen, wo wir Ambidextrie im Kontext Informationssicherheit sehen. Die Exploitation (als best­mög­li­che Nutzung und ste­te Verfeinerung) sehen wir in eta­blier­ten und in einer Organisation inte­grier­ten Best-Practice-Organisationsansätzen. ISO 27001 ist so ein Beispiel. Organisationen füh­ren ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 ein, ori­en­tie­ren sich dabei an einem Referenzmodell und arbei­ten als Firma nun in einem klas­si­schen Management-System-Ansatz dar­an, dass die­ses ISMS stets bes­ser gelebt und stets stei­gen­den / ver­än­der­ten Rahmenbedingungen ange­passt wird. Sie sor­gen so nicht nur dafür, die Re-Zertifizierung zu bestehen, son­dern auch als Firma stets bes­ser zu wer­den und den Reifegrad der Organisation erhö­hen.


Hier kommt SECUTAIN das ers­te Mal ins Spiel: MitarbeiterInnen müs­sen die­ses ISMS natür­lich ken­nen und ver­ste­hen. Eine anschau­li­che, unter­halt­sa­me und anschluss­fä­hi­ge Unterweisung in der Anwendung die­ses ISMS ist also nicht nur ein Erfolgsfakor (und bei einer ISO 27001 gefor­dert), son­dern auch Notwendigkeit, damit das System tat­säch­lich gelebt wird. 

Was aber, wenn Dinge pas­sie­ren, die das ISMS nicht abfängt? Also Dinge, für die ein ISMS aktu­ell nicht gedacht ist, die ein ISMS nicht erken­nen kann oder die ein ISMS auch im höchs­ten Reifegrad nie­mals erken­nen kön­nen wird? 

Hier kommt die explo­ra­ti­ve Seite ins Spiel. Und die­se sehen wir ganz eng ver­zahnt mit der Sensibilisierung und der Achtsamkeit einer Belegschaft für Informationssicherheit. Hier wird der all­ge­gen­wär­ti­ge Ruf nach Awareness, nach Sensibilisierung und nach Achtsamkeit deut­lich und inhal­t­­lich-theo­­re­­tisch begrün­det.

Dazu ein Beispiel: Wenn Ihre Firma Opfer eines Social Enginieering Angriffs wird und die Human Hacker rich­tig gut sind (und glau­ben Sie uns, die gibt es — bei­spiels­wei­se unter unse­ren SECUTAIN-Partnern), dann ken­nen die­se nicht nur die übli­chen „Alarm-Auslöser“ eines guten ISMS. Ein Human Hacker wird immer dar­auf ach­ten, „unter dem Radar“ ihres ISMS zu flie­gen, um kei­nen Alarm aus­zu­lö­sen. Ein Human Hacker wird „über Bande spie­len“ und sie dort erwi­schen, wo kein Alarmsensor steht. Hier braucht es Neugier und Aufgeschlossenheit der Belegschaft einer Organisation. Es braucht aber auch ein neu­es Verständnis von Scham oder Umgang mit Fehlern. Und es braucht Mut, Dinge aus­zu­spre­chen, die man sonst viel­leicht nicht sagen wür­de, weil man sich nicht lächer­lich machen mag. MitarbeiterInnen sol­len einen Sinn dafür ent­wi­ckeln, wenn irgend­was faul ist, wenn sich etwas komisch anfühlt, wenn etwas auf den ers­ten Blick ISMS-kon­­form erscheint, auf den zwei­ten Blick aber zwei­feln lässt. Hierzu braucht es die Eigenschaften einer explo­ra­ti­ven Organisation, die inno­va­tiv mit Themen umge­hen kann, für die bestehen­de Regelungen und Prozesse kei­ne Vorgehensweise bie­ten. Hier braucht es wei­te­re Sinne — genau das, was Sensibilisierung (lat. sen­sus: der Sinn) ja bezwe­cken soll.

Wir von SECUTAIN ver­fol­gen daher immer das Ziel, Exploitation und Exploration glei­cher­ma­ßen zu för­dern. Damit Sie eine ste­tig bes­ser wer­den­de und acht­sa­me Organisation haben.

Cerealien und Cyber :) — Einladung zum Security-Frühstück

Wir laden Sie zu unse­rem Security-Frühstück am 19. Juni ein. Starten Sie in den Tag mit aktu­el­len Informationen aus dem Bereich Informationssicherheit zusam­men mit lecke­rem Frühstück und hei­ßem Kaffee. In zwei Stunden prä­sen­tie­ren wir Ihnen aktu­el­le Trends aus dem Bereich und beschäf­ti­gen uns mit kom­mu­ni­ka­ti­ven Aspekten.

So beleuch­ten wir ein­mal näher, wel­che beson­de­ren Anforderungen Informationssicherheit an die unter­neh­mens­in­ter­ne Kommunikation stellt und wie die gewähl­te Sprache zum Erfolg die­ser Kommunikationsmaßnahmen bei­tra­gen kann. Das Thema Social Engineering beleuch­ten wir ein­mal aus der Opferrolle und spre­chen über den Unterschied zwi­schen Scham und Schuld. Wir erläu­tern, wie Organisationen davon pro­fi­tie­ren kön­nen, wenn sie offen­si­ver mit Social Engineering-Attacken umge­hen.

Die Veranstaltung ist für Sie kos­ten­los. Mehr Informationen und die Möglichkeit zur Anmeldung fin­den Sie unter https://secutain.com/fruehstueck.

Wir wachsen. Neue Adresse ab 2. Mai.

Am 2. Mai 2018 bezie­hen wir neue Büros. Die eto­mer GmbH wächst, so dass unse­re alten Büros zu klein wur­den. Ab dem 2. Mai fin­den Sie uns unter fol­gen­der Adresse:

eto­mer GmbH
SECUTAIN
Winkler Straße 27
14193 Berlin

Die neu­en Räumlichkeiten eröff­nen auch für SECUTAIN neue Optionen. Dazu mehr in Kürze.

Zertifizierung zum Awareness-Beauftragten für Informationssicherheit

SECUTAIN und die International School of IT-Security (isits) bie­ten die drei­tä­gi­ge Schulung “Awareness-Beauftragter für Informationssicherheit” an. Das Ziel die­ser Schulung ist es, Verantwortliche in Organisationen in die Lage zu ver­set­zen, ziel­ge­rich­tet, wir­kungs­voll und nach­hal­tig Maßnahmen zur Steigerung der Achtsamkeit für Informationssicherheit durch­zu­füh­ren.

Die Schulung rich­tet sich sowohl an klas­sisch IT-fokus­­sier­­te Personen, wie IT-Leiter, Informationssicherheitsbeauftragte, Datenschützer und IT-Berater wie auch an Revisoren, Projektleiter oder Beschäftigte der inter­nen Unternehmenskommunikation. Neben Themen zur Informationssicherheit lie­gen Schwerpunkte auf wirk­sa­mer Kommunikation — ins­be­son­de­re vor dem Hintergrund der Awarenessbildung -, Kampagnenplanung und Erfolgsmessung von awa­re­n­ess­bil­den­den Maßnahmen.

Am Ende der Schulung kann eine TÜV-Zertifizierung zum Awareness-Beauftragten für Informationssicherheit im Rahmen einer Prüfung abge­legt wer­den.

Die Schulung fin­det vier­mal jähr­lich in Bochum und bei Bedarf auch inhou­se statt. Mehr Informationen und die nächs­ten Termine fin­den Sie auf unse­rer Seite zur Schulung.