Schulung für Sicherheitsbewusstsein bei Akamai

Bei Akamai bilden Sicherheitsbewusstsein und Schulungen einen fortlaufenden Prozess, der für die meisten Mitarbeiter bereits am 1. Tag beginnt. Darauf folgt eine Zusammenfassung des Programms und des persönlichen Schulungserlebnisses der Mitarbeiter.

Schulung für Sicherheitsbewusstsein bei Akamai

Zweck:

Akamai erkennt an, das neben traditionellen Schulungsangeboten die Besprechung und Priorisierung von Sicherheitsinformationen für ein erhöhtes Sicherheitsbewusstsein sorgen.

Anwendungsbereich:

Diese Richtlinie gilt für alle Mitarbeiter von Akamai. 

Richtlinie:

Mitarbeiter erhalten in ihrem ersten Monat und danach jährlich eine allgemeine Sicherheitsschulung. Während der Orientierungsphase im ersten Jahr erhalten neu eingestellte Mitarbeiter eine 40-minütige Übersicht über die Sicherheitsverfahren von Akamai. Diese wird ihnen live von Mitgliedern von Akamai InfoSec präsentiert.

Rollen und Verantwortlichkeiten:

Alle Mitarbeiter müssen jährlich die Teilnahme am Information Security Program von Akamai bestätigen und für einen Auffrischungskurs verfügbar sein. Der Auffrischungskurs ist in erster Linie in Form von Videos und Dokumentation verfügbar. Die Abteilung Information Security verfolgt die Teilnahmebestätigungen der Mitarbeiter und stellt sicher, dass die Bestätigungsrate der Mitarbeiter von Akamai stets über 96% liegt. 

Die Abteilung Product Mangement stellt sicher, dass Sicherheitsanforderungen als Hauptkomponente jeder wichtigen Produktversion besprochen werden und dass Karteninhaber- und andere sensible Daten in allen Lösungen in Übereinstimmung mit relevanten Sicherheitsstandards gesichert werden.

Das Executive Management überprüft routinemäßig verschiedene Aspekte der Sicherheitslage von Akamai, einschließlich:

  • Fortschritte bei der Identifizierung und Beseitigung von Sicherheitsrisiken und -lücken 
  • Möglichkeiten für die unternehmensweite Kommunikation, um Sicherheitspraktiken und -bewusstsein zu stärken, und 
  • andere Aspekte in der nahtlosen Unternehmenssicherheit und Präsenz von Akamai in der Branche für Netzwerksicherheit 

Fallstudie:

Im Folgenden finden Sie einen Bericht von Bill Brenner, einem Mitarbeiter von Akamai, über die Teilnahme an der Sicherheitsschulung von Akamai. Als Senior Program Manager hat Brenner die Aufgabe, über Artikel, Podcasts, Videos, Blogs und andere Medien das Sicherheitsengagement von Akamai zu präsentieren.

Obwohl ich im vergangenen Jahrzehnt über InfoSec geschrieben hatte, gab es dennoch Momente der Unsicherheit. Letztes Jahr zum Beispiel fiel ich auf einen der ältesten Social-Engineering-Tricks überhaupt herein – ich klickte auf einen Link in einer direkten Twitter-Mitteilung, in der einer meiner Kollegen mich auf einen negativen Post hinwies, den angeblich jemand über mich geschrieben hatte. Das Twitter-Konto dieses Mitarbeiters war gekapert worden, und auch seine anderen Kontakte erhielten solche Mitteilungen. Sobald ich auf den Link geklickt hatte, wusste ich, dass ich einen Fehler begangen hatte, der meinem Konto und meinen Geräten Schaden zufügen konnte.

Einige Jahre zuvor hatte ich einmal auf einen Link zu einer Sci-Fi-Website geklickt, den ich von jemandem erhielt, der sich für einen alten Freund ausgab. An diesem Tag wurden fünfhundert Malware-Elemente auf meinen Laptop heruntergeladen, in erster Linie Adware für Pornografie und „Pump-and-Dump“-Aktienspamkampagnen, die ständig als Popups auf dem Bildschirm erscheinen. Ich verbrachte mehrere Stunden damit, das Gerät davon zu befreien, und musste mir den Spott meiner Kollegen gefallen lassen. 

In beiden Fällen hatte ich von meinem Arbeitgeber keine Sicherheitsschulung erhalten. Als Verfasser von Artikeln über Sicherheit hätte ich es dennoch besser wissen müssen. Wir erhielten zwar Sicherheitswarnungen zu aktuellen Bedrohungen, doch nie eine Schulung zu bewährten Vorgehensweisen.

An meinem ersten Tag bei Akamai erhielt ich eine beinahe einstündige Einführung zu diesem Thema. Ich hatte im Laufe der Jahre bereits mehrmals Artikel über die Wichtigkeit von Sicherheitsschulungen für Mitarbeiter verfasst, doch noch nie zuvor selbst an einer Schulung teilgenommen.

Sicherheitsschulungen in der Geschäftswelt müssen individuell zugeschnitten werden. Unterschiedliche Unternehmen haben verschiedene Anforderungen, und Akamai ist da keine Ausnahme. Die genauen Schulungsinhalte kann ich hier nicht offenlegen. Doch viele Anweisungen waren recht grundlegend und gelten für alle Unternehmen und Branchen. 

Zum Beispiel: 

Uns wird immer gesagt, dass es in Ordnung ist, eine IM-App unserer Wahl zu verwenden, um mit Freunden und Familie zu kommunizieren. Doch für interne Kommunikationen in Bezug auf unsere Arbeit müssen wir ein anderes, bestimmtes IM-Tool verwenden und zwar eines mit zusätzlichen Sicherheitsfunktionen. 

Wir haben einen Plan für die Veröffentlichung von Sicherheitspatches für verschiedene Programme. Ab und zu werden auf dem Bildschirm Fenster angezeigt, in denen wir aufgefordert werden, auf eine Schaltfläche zu klicken, um neue Updates zu installieren. In der Schulung wurden wir darauf hingewiesen, dass wir diese Aufforderung befolgen und das jeweilige Update installieren müssen. Zudem müssen wir sicherstellen, dass das Update von einer seriösen Quelle stammt. Popup-Fenster können schließlich Gefahren bergen.

Wenn wir unseren Computer unbeobachtet lassen, sollten wir den Bildschirm sperren, damit niemand anders auf unsere Daten oder Anwendungen zugreifen kann. An meinem zweiten Tag ging ich weg, als mehrere Anwendungen auf meinem Gerät aktiv waren. Als ich zurückkam, klebte auf meinem Monitor ein Post-it, auf dem stand: „Bildschirmschoner rocken“.

Und da wir gerade von Post-its sprechen – eine weitere Anweisung ist, niemals Notizen zu unseren Kennwörtern oder Zugangsdaten herumliegen zu lassen.

Wenn wir jemanden ohne Ausweis sehen, der versucht, das Gebäude oder einen anderen gesicherten Bereich zu betreten, tragen wir die Verantwortung dafür sicherzustellen, dass diese Person durch uns, unsere Unternehmenssicherheitsgruppe oder eines der Authentifizierungstools (einschließlich Kollegen, Mitarbeiterverzeichnisse usw.) angemessen identifiziert wird. 

Unser Programm umfasst viele weitere Details, doch dies sind gute Beispiele für grundlegende Maßnahmen, von denen auch andere Unternehmen profitieren können.