Quali argomenti deve contenere un corso sulla sicurezza per le persone non IT?

In realtà ho fatto una presentazione simile a questo poco più di un anno fa, e ho passato un bel po 'di tempo a decidere come strutturarlo. Il mio pubblico di riferimento includeva sviluppatori e altre persone abbastanza informate in IT, ma anche manager e altri non programmatori, quindi ho cercato di mantenerlo abbastanza generale e non complicato dal punto di vista tecnico. Come ha sottolineato qualcun altro, penso che una cosa importante non sia noiosa come noiosa; vuoi che questo sia un discorso illuminante che aiuta le persone a capire che questo è qualcosa che dovrebbero tenere a mente, e non solo un altro elenco di tristi compiti che interferiscono con il lavoro effettivo .

A tal fine, ho cercato di centrare l'intera presentazione sul concetto di cultura della sicurezza invece di saltare direttamente in troppi dettagli tecnici. Con questo in mente, sono comunque riuscito a toccare molti dei temi che hai menzionato nella tua domanda.

Alcune delle cose che ho menzionato nel mio talk

(o vorrei toccare oggi se dovessi tenere un altro discorso simile):

• Riservatezza, integrità e disponibilità (CIA): i temi centrali della sicurezza delle informazioni e alcune parole dovrebbero essere ovvie sul perché questi sono importanti sia per la vostra azienda, sia per i singoli (se potete dare un po 'di guida alle persone questo li aiuterà a rimanere al sicuro oltre il posto di lavoro, quindi questo è solo un vantaggio, giusto? Potrebbe anche farti prestare più attenzione anche a te, specialmente se tocchi anche la sicurezza dei loro figli / famiglia).
• Qualche parola sul concetto di "cultura della sicurezza" ("cultura" come in " un insieme di idee, abitudini e norme sociali, comune a un gruppo specifico di persone " o qualcosa di simile e l'idea che la consapevolezza della sicurezza dovrebbe essere una parte consapevole di questo ).
• Obiettivi di pensare alla sicurezza: ridurre il rischio di incidenti indesiderati, prepararsi a gestirli se / quando si verificano comunque.
• Tenendo conto dei costi (o ritorno sull'investimento se lo desideri); pensare a quali misure saranno più semplici per iniziare e che hanno più senso. Includerei alcune parole sulle buone abitudini qui; cose come aggiorna i tuoi sistemi, usa buone password ed evita di fare clic su link sospetti, fai attenzione alla sicurezza fisica (tailgaters!) ecc. Forse includi alcuni esempi di eventi del mondo reale, incluse schermate di articoli di notizie sulle violazioni, ecc.
• Fornisci alcune domande relative al tipo di vulnerabilità o minacce che potrebbero essere pertinenti per la tua azienda in particolare e altro ancora. Esempi: Quali sono i "gioielli della corona" della nostra attività? Cosa è più importante per noi e cosa potrebbe minacciarli? Quanto siamo sicuri oggi, quanto ci piacerebbe essere sicuri e come possiamo arrivarci in futuro? In quali aree vorremmo migliorare la nostra posizione sulla sicurezza? Il punto qui non è quello di dare alla gente una lista di cose da fare, ma di farle riflettere sull'intero ambito della sicurezza in generale, e aiutare ad assumersi la responsabilità per parti di esso, loro stessi.
• Fornisci alcuni esempi di linee guida di sicurezza tipiche e chiedi al tuo pubblico se qualcuno di loro (o simili) dovrebbe essere preso in considerazione per il tuo posto di lavoro.

Oh, e un'altra cosa: includendo alcuni appropriati real esempi mondiali di problemi di sicurezza contribuiranno a intrattenere il pubblico (ma senza esagerare).

Non so se questo è esattamente quello che cercavi, ma spero che possa essere di qualche utilità. Buona fortuna con la tua presentazione.

Nessuna delle risposte esistenti lo menziona ed è troppo lungo per un commento, anche se non è una risposta esauriente.

Una cosa che assolutamente ha bisogno di evitare di generare nel tuo pubblico è il nichilismo (cioè mi farò hackerare qualunque cosa io faccia). È abbastanza facile spaventare le persone s # # $ in meno (e allettantemente intrattenendo a seconda delle circostanze). Ma gran parte della vendita della cultura della sicurezza, come dici tu, convincerà il pubblico che migliorare sensibilmente la sicurezza sia a) non eccessivamente doloroso e b) possibile .

Troppo spesso l'atteggiamento che incontro soprattutto tra i millenials è che la sicurezza è impossibile, o se possibile così difficile da essere inattuabile. Cazzo, io conosco meglio e mi sento ancora a quel modo a volte me stesso.

Raccomando che ogni esempio del mondo reale (che sia una storia o una demo dal vivo) sia presentato con alcuni passaggi facili (preferibilmente "step" singolari) per evitare lo stesso destino.

È così irreale per loro che l'unico modo per farlo rimanere fermo è mostrandoli per esempio di vita reale.

Chiedi loro: chi sa cos'è il phishing?
Chiedete loro: quindi quale tipo di informazioni trapelate sarebbe problematica?
Dicono: se il documento ThisIsImportant.doc con informazioni contabili sul cliente C verrebbe trapelato.
Chiedere loro: chi ha accesso a ThisIsImportant.doc?
Dicono: Patrick

Quindi di 'loro: SO, consente a tutti insieme di inviare un'email di phishing a Patrick fingendo di essere il capo di Patrick!

Apri il Terminale (con carattere verde, importante!) davanti ai loro occhi.
LIVE "Hacking"! Lo adorano!

1) ssh nel server di posta
2) touch mail.txt
3) vim mail.txt

To: [email protected]
Subject: Patrick, I need customer C info.
From: Patricks Boss<[email protected]>

Dear Patick,
I'm a little bit in a hassle, as customer C just called.
Please send me ThisIsImportant.doc so I can prepare a response.

Best regards,
Your BOSS!

4) :x!
5) sendmail -vt < mail.txt

Ora chiedi a Patrick di aprire la sua e-mail e tutti vedranno una forma di email Patricks Boss che hai scritto davanti ai loro occhi .

Lezione appresa per loro:
Non dovrebbero seguire ciecamente un Nome / Marca / Uniforme / ecc. e usa il buon senso.

Dopo potrai dire loro tutte le altre cose perché ora ti credono quanto sia reale.

Un anno dopo, comunque, racconteranno ancora la storia di come hai "hackerato" la particella impersonando il suo capo.

Da un lato si dice che si desidera eseguire workshop mentre dall'altro, ci si immerge in alcuni argomenti piuttosto duri con persone che hanno una conoscenza limitata della sicurezza. Mentre apprezzo i tuoi sforzi, se fossi in me cercherò di aumentare la consapevolezza e far riflettere le persone sulla sicurezza piuttosto che presentare semplicemente la morte per powerpoint / qualcosa che si presenta come un altro segno di spunta. esercizio di conformità alla formazione obbligatoria di caselle.

Non sto suggerendo che non dovresti parlare di tutte le cose che hai elencato, ma se passi una giornata solo su queste, annoierai il tuo pubblico. OTOH se riesci a conquistare i loro cuori e le loro menti, allora pensano riguardo alla sicurezza nel loro lavoro quotidiano.

Esplorare come potrebbero essere attaccati come individui privati è un modo per affrontarlo. Un altro è farli pianificare un attacco su un bersaglio arbitrario.

Mostra loro un gestore di password come LastPass o KeePass.

La maggior parte di tutti quelli che conosco ha un numero di ID utente e password. Per aiutarli a ricordare, fanno cose come usare tutte le stesse password, scriverle su bigliettini o memorizzarle in documenti di testo non criptati.

Mostra loro come utilizzare un gestore di password. Ho mostrato ad alcuni dei miei amici non informatici come usare LastPass. Ora usano una passphrase molto strong per entrare nel gestore di password e lasciare che gestisca tutti i loro accessi. Loro lo amano!

In generale, più misure di sicurezza puoi allontanare dall'utente: meglio è!

Ad esempio:

• La memorizzazione dei file dovrebbe, se disponibile, essere eseguita su un server centralizzato. Supponendo che tu disponga di risorse con competenze sufficienti per configurarlo correttamente, è più facile mantenere i backup a livello aziendale fatti da persone addestrate che insegnare a ciascun dipendente come fare i backup privati (e farli ricordare di farlo!)

• Se il tuo ambiente lo supporta, utilizza le politiche di gestione di Windows Domain / Active Directory dove applicabile (ad esempio per introdurre timeout dello schermo con sblocco solo per password o per imporre il contenuto della lunghezza / carattere della password e le modifiche periodiche della password).

Commenti ai tuoi suggerimenti:

1. Rendilo semplice - sicurezza del computer = protezione delle risorse della tua azienda. L'informazione è potere e le informazioni possono anche essere denaro in un senso più diretto (segreti commerciali, ecc.). Il tuo argomento specifico dipenderà dal tipo di lavoro svolto dalla tua azienda e da cosa / come lo memorizzi, ma l'essenza dovrebbe sempre essere che l'accesso non autorizzato a un sistema informatico può causare gravi danni alla tua azienda, sia per distruzione che furto (o entrambi ).

2. Sicuramente farlo, ma come accennato in precedenza, usa gli strumenti tecnici per far rispettare il maggior numero possibile di regole per ridurre la responsabilità sull'utente finale.

3. Assolutamente! Non è un vettore di attacco molto comune, ma è una delle "correzioni" più facili. Pertanto, dovrebbe essere implementato immediatamente. Metti dei promemoria vicino alle workstation o alle uscite.

4. Evita questo, a meno che tu non possa trovare esempi specifici a cui i tuoi dipendenti possano relazionarsi direttamente (perché usi lo stesso hardware / software o qualcosa di simile). Se segui questo percorso, KISS - non perderti nel gergo tecnico. Usa concetti generali e termini non tecnici il più possibile. Dedica meno tempo alla spiegazione del problema e più tempo a descrivere il comportamento corretto per l'utente.

5. Questo può essere facilmente tra i più pericolosi vettori di attacco e contemporaneamente quello che è più difficile insegnare ai tuoi dipendenti come proteggersi. Salvalo per ultimo - vuoi che i tuoi dipendenti abbraccino la "cultura della sicurezza" prima di approfondire questo particolare argomento. Più sanno già e pensano alle procedure sicure e all'importanza di garantire l'autorizzazione e i protocolli corretti, più facile sarà capire come una terza parte possa provare a superare queste barriere.

6. Sicuramente: utilizza i criteri di gruppo per bloccare Flash, Active-X o applicare NoScript e così via, se possibile! Di nuovo, più queste mitigazioni si possono aggiungere senza che l'utente debba fare o gestire nulla, meglio è.

9. Di nuovo, se puoi farlo centralizzato, sarebbe meglio. A giudicare dalla tua domanda, sembra che questo potrebbe non essere il caso della tua azienda?

Per quanto riguarda l'ordine - consiglierei lo stesso ordine in cui potrebbero sorgere i problemi. Ovvero:

user login (passwords, lockscreen) 
  --> program startup (viruses, backups) 
    --> program use (phishing, social engineering, "bad" downloads/attachments).

Penso che la risposta di kjartan sia azzeccata, ma in termini più generali di formazione sulla consapevolezza della sicurezza ci sono solo pochi componenti principali

1. Che cosa stai proteggendo? Informazioni, dati e conoscenze: i driver di ogni aspetto della tua attività.
2. Perché deve essere protetto? CIA + non ripudio. Penso che sia importante spiegare perché è importante che gli utenti non condividano le credenziali.
3. In che modo gli utenti possono aiutarti a proteggerlo. Semplicemente alcune regole di base per non fare clic sui collegamenti, fornire informazioni, raccogliere unità flash e collegarle - le cose di base.
4. Esempi di incidenti accaduti e il costo associato al danno di reputazione e monetario.

Se devi andare oltre, è una buona idea spiegare quali politiche & le procedure sono e perché dovrebbero essere seguite. Mettilo in termini semplici per individui non IT e non business. E poi metterlo in termini commerciali per il livello più alto di dipendenti e come ciò che è stato concordato è stato considerato il livello corretto di sicurezza e operazioni commerciali (es. Perché queste cose esistono oltre a essere solo un ostacolo che devono superare per fare semplicemente il loro lavoro). Penso che questa sia la chiave con cui gli utenti normali lottano - " lasciami fare do il mio lavoro! "