Projekt

Globales Informationssicherheits- und Compliance-Projekt in der Life-Science-Branche

Herausforderungen

Ein globales Pharmaunternehmen musste seinen Datenschutz deutlich erhöhen. Nach einer Reihe von Vorfällen und der Erkenntnis, dass weitere Angriffe zu erwarten sind, hat sich das Unternehmen entschlossen, nicht nur die technischen Maßnahmen zum Schutz seines geistigen Eigentums und seiner Daten massiv zu erhöhen, sondern auch den Wissensstand der Mitarbeiter zu steigern und ihr Verhalten in Richtung höherer Informationssicherheit und Compliance zu verbessern
  • Es handelt sich also um ein gemeinsames Projekt von Business, Compliance und IT in einer Kultur, die es gewohnt ist, in Silos zu arbeiten
  • Kommunikation und Change Management erweisen sich als entscheidend, um alle Beteiligten (SteerCo, MD-Ebene, Länder- und Informationssicherheitsleiter und -mitarbeiter, Projektmitarbeiter, verschiedene Beratungsunternehmen) an Bord zu halten

Unser Ansatz

Die bestehende Informationssicherheitsorganisation umfasste verantwortliche Experten in der Mehrzahl der mehr als 80 Ländern. Als wichtigste interne Stakeholder identifizierten wir die lokal verantwortlichen IT-Manager, die lokalen und globalen Informationssicherheitsbeauftragten, die ihnen unterstellten Einheiten Global Comms, Internal Comms und User Comms, die Bereichsleiter sowie die Ansprechpartner in Compliance und Risk und Legal auf Konzernebene:
  • Analyse des Mitarbeiterverhaltens weltweit und Identifizierung von signifikanten Unregelmäßigkeiten. Mehrere Workshops mit den Informationssicherheitsexperten des Unternehmens, um die Informationssicherheitsrisiken zu bewerten und geeignete Gegenmaßnahmen zu entwickeln
  • Interne Kampagne zur Informationssicherheit (on- und offline an allen wichtigen Standorten weltweit) inklusive eines weltweiten Informationssicherheitstages sowie eines Gamification-Ansatzes mit einer speziell entwickelten App
  • Entwicklung, Aufbau und Betrieb eines Intranetauftritts mit umfangreichem Material, Workshops und Schulungen zu den drängendsten Problemen (Train the Trainer)
  • Integration von Informationssicherheitsaspekten in Schulungen, alle laufenden Projekte und als wesentlicher Bestandteil aller neuen Projekte
  • Regelmäßige Durchführung von offenen und verdeckten Tests (z. B. simulierte Angriffe), kombiniert mit Schulungen

Ergebnisse

  • Ausgezeichnetes Feedback für die Projektkommunikation weltweit. Alle Stakeholder fühlen sich gut informiert und in das Projekt integriert
  • Das Verhalten der Mitarbeiter wurde messbar verbessert, um mehr Informationssicherheit zu gewährleisten
  • Das Bewusstsein für Informationssicherheit wurde auf lokaler und globaler Ebene deutlich verbessert
  • Informationssicherheit als verpflichtender Bestandteil des Onboardings und der jährlichen Compliance-Schulung etabliert

Gewonnene Erkenntnisse

  • Es werden starke Promoter und kompetente Ansprechpartner vor Ort benötigt
  • Die Kombination verschiedener Elemente der Informationsvermittlung über unterschiedliche Medien erreicht nahezu alle Mitarbeiter mit hoher Zuverlässigkeit
  • Regelmäßige Erinnerungen in hoher Frequenz und auf verschiedenen Wegen sind notwendig, um eine nachhaltige Verhaltensänderung zu erreichen
  • Die Mitarbeiter müssen persönlich betroffen gemacht werden und dürfen das Thema nicht nur als Zuschauer erleben
Sie brauchen Hilfe? Kontaktieren Sie uns!