Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Cybersecurity geht alle an (Kapitel 5)

Generalaufgaben für Personalwesen und HR

Cybersecurity-Generalaufgaben: Planung, Einstellung und Unterstützung der Entwicklung, Bindung und Vergütung der Mitarbeitenden des Unternehmens

Was die Personalabteilung leistet
Wenn Sie für das Management und die Optimierung der Personalressourcen des Unternehmens verantwortlich sind – vom Einsteiger bis zum Management – sowie für externe Stakeholder (Stellenbewerber bis hin zu Personalvermittlern, Beratern, Personalverbänden und Leistungserbringern), gilt dieser Teil Ihnen.

Sie steuern die Personalstrategie in Übereinstimmung mit der Strategie des Unternehmens. Zu Ihren Aufgaben gehören Personalweisungen und -management, Personalgewinnung und -entwicklung, Personal- und Nachfolgeplanung, Mitarbeiterbeziehungen und -engagement, Kultur und Vielfalt, Leistungsmanagement sowie Vergütung und Zusatzleistungen. Möglicherweise sind Sie auch an der Pflege von Datensätzen in Personaladministrationsportalen und Tools zur Personalgewinnung beteiligt.

Sie sind für das Unternehmen wichtig, denn ohne Ihr Fachwissen und Ihre Bemühungen, das wertvollste Gut des Unternehmens, seine Mitarbeitenden, zu gewinnen, zu entwickeln und zu erhalten, würde das Unternehmen nicht über das Wissen und die Fähigkeiten verfügen, die für den Erfolg notwendig sind. Dank Ihnen können Best Practices für das Personalmanagement konsequent angewendet werden.

Die Rolle der Personalabteilung in der Cybersecurity beinhaltet:

  1. Implementierung von Best Practices in den Bereichen Organisationsänderungs-Management, Mitarbeiterschulung und Performance Management, um eine Cybersecurity-Kultur zu ermöglichen
  2. Sicherstellung, dass kritische Cybersecurity-Rollen besetzt werden und dass die Mitarbeitenden über die notwendigen Kenntnisse, Fähigkeiten und Fertigkeiten auf dem Laufenden bleiben
  3. Schutz vertraulicher Mitarbeiterinformationen
  4. Führungsrolle bei den Bemühungen zur Risikominderung von Insider-Bedrohungen

Was Personalverantwortliche tun sollten:

  • Sicherstellen, dass Kenntnisse, Fähigkeiten und Fertigkeiten im Bereich der Cybersecurity in die Aus- und Weiterbildungsprogramme der Mitarbeitenden integriert werden
  • Reduzieren Sie die Risiken, die durch Neueinstellungen entstehen, indem Sie Hintergrundprüfungen durchführen
  • Forderung und Verfolgung der Teilnahme an Cybersecurity-Schulungen und Sensibilisierungsprogrammen für alle Mitarbeitenden im gesamten Unternehmen
  • Nutzung von Best Practices im Personalbereich zur Reduktion der Personalfluktuation in kritischen Cybersecurity-Rollen
  • Stellen Sie eine Auswahl von Dienstleistern sicher, die die Vertraulichkeit der persönlichen Daten der Mitarbeitenden, die häufig besonders schützenswerte Daten enthalten, effektiv wahren können
  • Schützen Sie den Zugriff auf Ihre Personalmanagement-Plattform, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
  • Schützen Sie sensible Informationen bei der Rekrutierung, Leistung, Vergütung und den Sozialleistungen von Mitarbeitenden
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie intern oder extern mit Interessengruppen wie z.B. Personalvermittlern oder Stelleninteressenten teilen
  • Sicherstellen, dass die Konten der ausgetretenen Mitarbeitenden umgehend geschlossen werden
    • Sofortige Benachrichtigung der IT-Abteilung über anstehende oder tatsächliche Personalaustritte
    • Aktualisieren Sie Verzeichnisse mit dem neuem Status, um sicherzustellen, dass Berechtigungsänderungen plattform- und anwendungsübergreifend kaskadiert werden
    • HR-Sätze entsprechend aktualisieren

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ


© Swiss Infosec AG 2024