Blogreihe-Awareness: Das Security Champions Programm

Hervorragende Werkzeuge und Prozesse sind im Unternehmen etabliert, nur niemand nutzt diese. Es werden alte Wege durch die MitarbeiterInnen beschritten oder sogar neue nicht gewollte Wege gegangen. All diese Dinge sind kontraproduktiv und helfen nicht eine Security Baseline im Unternehmen zu schaffen, die auch Datenschutz, Compliance und dem Schutz der IP im Unternehmen dient. 

Ein Mittel zur Lösung kann ein Champions Programm sein. So schafft man sich bei minimalem Invest eigene Influencer, die das Thema im Unternehmen skalieren und weitertragen können. Wie man so eine Security Influencer Champions schafft, erläutere ich im kommenden Beitrag:

Das Champions-Programm – Wissen aneignen und teilen

Es geht darum MitstreiterInnen oder auch Influencer im Unternehmen zu finden, die gemeinsam neben ihrem eigentlichen Aufgaben etwas reichen wollen. Es sollten bestmöglichst Poweruser sein, die in ihrer Abteilung gestanden sind und diese gut kennen. So geht es zunächst darum das Unternehmen zu kennen und dessen Eigenheiten. Die Personen sollten gut kommunizieren können und Teamplayer sein. Optimalerweise sollten sie unterrichten können, aber dies kann man erlernen und sollte auch im Rahmen des Programmes aktiv gefördert werden. Denn neben dem Feedback, Erstellung von Trainings, steht natürlich auch den KollegInnen das Wissen zu teilen. 

Was brauche ich zunächst dafür?

  • freiwillige MitarbeiterInnen aus verschiedensten Abteilungen (mind. 5)
  • 1 Tag pro Monat pro MitarbeiterIn
  • gemeinsame Kommunikationsplattform (privat/versteckt) mit Chat und Datenspeicherort
  • 1 Teamlead zur Koordinierung und Absprache mit zum Beispiel Datenschutz, Securityteam und Betriebsrat  (mind. 60%-Stelle)
  • Anreiz für die Personen (z.B. Teamevent mit anderen Champions, Präsentationen vor der Firma, Ziele bei Consultants und Mitarbeitern, Bonuszahlung, Übernahme des Internetanschlusses, Homeoffice usw.)
  • ggf. zusätzliche Hardware für Tests (außerhalb des produktiven Systems)

 

Was kann ein Champion Programm leisten? (Beispiele)

  • verteilen und skalieren von Informationen und Best Practise im Unternehmen
  • lernen und Feedback Runde direkt zum Securityteam, Datenschutz und Geschäftsführung
  • Erstellen von Videos/Trainings für Stream (Office 365)
  • Erstellen von Plakaten und Heften (auch gedrucktes ist wichtig!)
  • Erstellen von Aktionen innerhalb der Firma

 

Erste Schritte zum Erfolg

Aus der Erfahrung des Aufbaues mehrere Communities extern und innerhalb einer Firma ergeben sich folgende erste Schritte: 

  1. Ziele deifnieren, Budget festlegen
  2. Name des Champion-Programmes
  3. ProjektleiterIn finden
  4. Präsentation mit: Zielen, Anreizen, Aufgaben
  5. In Fachabteilungen Influencer finden (über den Lead, Yammer-Plattform, eigene Suche)
  6. Logo/ Icon durch die MitgliederInnen erstellen und als Sticker drucken
  7. 2 Monate Pre-Phase mit mind. 3 Calls, so dass die MitarbeiterInnen schauen können, ob sie es wollen
  8. Treffen mit den verschiedenen Abteilungen wie Datenschutz und Security
  9. Erstes Offsite mit 3 Tagen (1,5 Arbeit, 1,5 gemeinsame Aktionen)
  10. Anreize ausrollen wie neuer Laptop / Azure Guthaben usw.
  11. Erste Ergebnisse präsentieren nach 3 Monaten
  12. Erste Workshops: Softskill-Training für Sprecher & Konferenzbesuche
  13. Erste Tshirs, Hoodies und Erkennungszeichen etablieren
  14. Erste Inhouse Messe und Inhouse Konferenz organisieren

Erfolge messen (Auszug)

Nun geht es letztendlich darum den Erfolg zu messen und damit das Investment zu rechtfertigen. Folgende Möglichkeiten könnte man umsetzen:

  1. Abfrage innerhalb der Mitarbeitertrainings über Inhalte, die vermittelt werden sollten
  2. weniger Schatten-IT
  3. höherer Sicherheitsstandard, weniger Sicherheitsverstöße
  4. weniger Gerichtsverfahren
  5. Abfrage der Stimmung (nur ein Teil ist dieser)