Misura di consapevolezza della sicurezza dell'utente finale

13

Oltre ai tradizionali test di phishing via email, quali altri indicatori di prestazioni chiave di sicurezza possono essere utilizzati per misurare la consapevolezza della sicurezza degli utenti finali in un'organizzazione?

Osservando il controllo di sicurezza critico SANS # 9 :

  • 9.4 Validate and improve awareness levels through periodic tests to see whether employees will click on a link from suspicious e-mail or provide sensitive information on the telephone without following appropriate procedures for authenticating a caller; targeted training should be provided to those who fall victim to the exercise.

Sto cercando di venire con un'indicazione che guardi oltre le e-mail di phishing o fornisca informazioni sensibili al telefono. Ad esempio, come faccio a sapere che le persone sono consapevoli dei pericoli derivanti dall'uso di USB infetti nell'organizzazione? Disabilitare l'uso dell'USB impedisce la violazione della sicurezza ma non rende più consapevole la consapevolezza dell'utente finale del problema. Gli utenti di solito lo vedono come un controllo fastidioso che impedisce loro di eseguire i loro compiti. USB è solo un esempio, come faccio a sapere che gli utenti sono consapevoli dei pericoli della condivisione dei loro nomi utente? e allo stesso modo altre pratiche sbagliate. ottenere le risposte sull'argomento dai sondaggi è una parte, ci sono altre indicazioni?

    
posta AdnanG 03.12.2014 - 11:36
fonte

5 risposte

6

Un programma di formazione rudimentale dovrebbe educare minimamente gli utenti su questioni critiche. Misurarne l'efficacia offre l'opportunità di garantire che gli utenti ricevano le informazioni pertinenti di cui hanno bisogno per svolgere il proprio lavoro in modo sicuro ed efficace.

Invia un sondaggio che valuti la consapevolezza dei problemi di sicurezza delle informazioni relative al lavoro e scopri come i tuoi dipendenti segnano.

  1. Quante volte dovresti cambiare la tua password?
  2. Quali sono i metodi appropriati per la trasmissione confidenziale informazioni a un partner commerciale?
  3. Chi è sicuro di discutere i tuoi dettagli personali con oltre il telefono?
  4. Come puoi identificare un sito sicuro?
  5. Come puoi identificare un'e-mail sicura?
  6. Che cos'è il "phishing"?
  7. Quali sono i rischi per la sicurezza nell'utilizzo dei social network?
  8. Quali informazioni hai (o vorresti) mettere su un social network?
  9. Come si possono evitare i virus informatici?
  10. Quali tipi di incidenti dovrebbero essere segnalati?

ecc.

    
risposta data 03.12.2014 - 11:54
fonte
6

Esaminando un arto qui, credo nei test con trapani regolari e attacchi simulati del Red Team. Se la squadra rossa ha successo nell'ingegneria sociale o in altri tipi di compromessi, la consapevolezza è nulla.

Ragionamento : indicatori KPI e sondaggi e quant'altro misura e riporta medie . L'attaccante non è interessato alle medie , attaccherà (citando da un recente commento di uno degli abitanti di Sec.SE) il portatile appartenente al segretario del CFO, o qualunque sia più debole

Stai anche cercando misure anti-compiacenza. Non riesco a trovare un modo migliore per tenere gli utenti sulle spine dei normali esercizi, controlli a campione e la vera minaccia di un attacco reale.

    
risposta data 03.12.2014 - 12:51
fonte
2

Quello che abbiamo deciso per un KPI è la quantità di incidenti segnalati. Nella fase attuale, diciamo che vogliamo che vengano segnalati più incidenti: non abbastanza persone riferiscono / sono consapevoli che dovrebbero. Quando la quantità aumenta, questo sarà per lo più a causa di una maggiore consapevolezza. Da un certo punto (senza un reale aumento costante delle segnalazioni) passeremo a Report meno incidenti significa meno incidenti. Ciò significa che non facciamo ancora affidamento sui rapporti, ma lo faremo in futuro.

Un altro KPI potrebbe essere la quantità di persone effettivamente addestrate: seguirle. Il terzo KPI potrebbe essere la quantità di politiche che le persone ricordano effettuando un sondaggio. Tuttavia, ho scoperto che le persone compilano solo sondaggi a scelta multipla con sufficiente dedizione per prendere sul serio la risposta.

    
risposta data 23.11.2017 - 15:47
fonte
2

SANS Secure The Human pubblica ora elenchi di KPI da prendere in considerazione:

link

L'hanno diviso in metriche di "Monitoraggio" (chi ha completato il corso di formazione) e metriche "Impatto" per provare a misurare l'impatto che l'allenamento ha avuto.

  • numero di persone con phishing con successo nel tempo
  • numero di persone che hanno segnalato il phishing
  • numero di computer infetti
  • numero di persone che pubblicano informazioni sensibili sui siti di social networking
  • ecc.

Fondamentalmente, qualsiasi comportamento per cui ti sei allenato può essere trasformato in una metrica (numero di tracciamento di persone, non il numero di istanze, per ovvi motivi).

Nel mio libro ( plug spudorato ) elenco un numero di tipi di metrica non tradizionali che possono essere considerati. Ad esempio:

  • numero di rapporti falsi positivi per gli utenti nelle prime 2 settimane dopo l'allenamento o una spinta alla consapevolezza
  • numeri di recidivi
  • numero di visitatori unici nel sito di awareness interno
  • numero di query al team di sicurezza
  • numero di segnalazioni di errori nel materiale di formazione (dopo aver incluso un paio di errori intenzionali)
  • ecc.

Devi davvero trattarlo come faresti per rintracciare gli utenti su un sito di vendita (chiedi al tuo team di monitoraggio degli utenti web, loro possono aiutare con le idee). Insegui comportamenti e devi seguire il cambiamento di comportamento nel tempo.

    
risposta data 23.11.2017 - 16:48
fonte
1

Con consapevolezza, ciò che cerchiamo di ottenere è una comprensione di base delle minacce e delle risposte. Si differenzia dall'addestramento e dall'istruzione che spingono per una comprensione più dettagliata e conoscendo la logica dietro le varie misure adottate.

Pertanto, la chiave per promuovere la consapevolezza è semplicemente attraverso l'esposizione. Più lo staff è esposto a tali messaggi di sicurezza, maggiore è la consapevolezza. Un modo semplice ed economico per promuovere la consapevolezza è attraverso la stampa di messaggi di sicurezza su tazze, tappetini per il mouse, magneti ecc. E affidandoli allo staff.

Puoi organizzare concorsi per disegnare i ciondoli sopra menzionati e distribuire premi. Per misurare i KPI, puoi basarli sulla quantità / qualità delle presentazioni. Se ti senti avventuroso, potresti persino piantare indizi all'interno di questi gingilli e assegnare premi ai dipendenti che riescono a risolvere l'enigma o il problema.

Generando hype e facendo in modo che più persone ne parlassero, avresti raggiunto il tuo obiettivo di consapevolezza.

Non sono un fan dei sondaggi o dei questionari poiché la maggior parte delle persone semplicemente studia per passarlo e non interiorizza realmente la conoscenza.

    
risposta data 03.12.2014 - 13:32
fonte

Leggi altre domande sui tag