Può essere davvero importante per un'organizzazione avere uno staff sufficientemente attento alla sicurezza per essere resistente a diversi tipi di attacchi contro la persona e i sistemi che sta utilizzando.
Per trovare la consapevolezza degli utenti in merito alla sicurezza, ma anche aiutare a promuovere e rendere la mentalità della sicurezza una proprietà intrinseca per tutti i dipendenti, ti consiglio di affidarti alla direzione per avere personale orientato alla sicurezza. Fornisci una formazione adeguata al management su quali sono i fattori importanti e fagli sapere che le conoscenze sulla sicurezza del tuo personale potrebbero essere un indicatore di rendimento . Questo è un primo passo fondamentale, a mio parere, per ancorare correttamente la necessità di misurare / scoprire la mentalità dei nostri utenti.
Ad esempio, come rispondi a queste domande?
- Quanto bene svolge un dipendente nella sua funzione lavorativa? Rispetto agli altri e rispetto a KPI.
- Che cosa pensano i dipendenti dell'azienda?
Se hai già dei modi per rispondere alle domande di cui sopra, allora penso che sia necessario introdurre la consapevolezza della sicurezza in quei processi. Il mio punto è che il processo di conoscenza della mentalità dei nostri utenti dovrebbe essere integrato nel processo per rispondere alle domande di cui sopra. Alcuni esempi su come potresti rispondere alla tua domanda e anche quanto sopra:
- Crea un sondaggio tra i dipendenti costituito da domande importanti per l'organizzazione. Fai questi annualmente.
- Far lavorare le risorse umane in domande di sicurezza per colloqui di lavoro.
- Nel tuo discorso annuale dei dipendenti, assicurati di interrogare il tuo dipendente su ciò che pensa sulla posizione corrente sulla sicurezza. Rendilo uno dei KPI su cui misuri i tuoi dipendenti.
- Chiedi ai dipendenti di rispondere ai questionari annuali orientati alla sicurezza.
Domande di esempio per interviste, colloqui con i dipendenti e questionari (per una maggiore consapevolezza, rispondi subito alle domande invece di dare loro un punteggio finale):
- Quale di questi è considerata una password complessa
- Quale di questi siti NON accederai a
- Come puoi identificare se stai comunicando utilizzando un canale sicuro sul sito che stai utilizzando?
- Che cosa significa il seguente messaggio?
- Checosafaresti,perfareilmigliorlavoropossibile,sequalcunotichiamaincasodiemergenzaperottenereunatrattenutadidocumentisulserverdiarchiviazioneintranet?
- Perchédovrestiavviareiltuocomputerquandoilcomputerlorichiede?
- QualediquesteminaccebloccailPC?
- QualeèconsideratounmodosicuropersmaltireiltuotelefonocellulareoiltuoPC?
- Qualediquesteretiwirelessverrebbeprobabilmenteconsideratasicuraancheperlaconnessione?
- Qualeindirizzoemailuserestiperregistrartialsitodellatuasquadradicalciofigliecon?
Aggiornamento:SANS ha twittato oggi di aver rilasciato nuove risorse per misurare il rischio e il comportamento umano.
Metrics give you the ability to track and measure the impact of your security awareness program. This can be used to improve your training, demonstrate return on investment, or compare your human risk to other organizations in your industry.
Sono disponibili un paio di risorse diverse: