Come possiamo entrare nella mentalità dell'utente?

Penso che tu abbia colpito il chiodo sulla testa quando dici "... non si interfaccia molto con i nostri utenti"

Sicuramente deve lavorare con gli utenti finali per capire la loro visione - la maggior parte degli utenti non ha interesse a capire cosa significa 0 giorni, per non parlare del motivo per cui dovrebbero interessarsene.

Molto di quello che faccio è quell'interfaccia tra i team di sicurezza tecnica e quelli non tecnici, e l'approccio migliore, a mio avviso, è quello di sedersi con l'utente e capire qual è il loro lavoro che richiede loro. Quali sono gli aspetti facili e difficili?

• Ad esempio, hanno vecchi laptop che impiegano anni per avviarsi? Se è così, scoprirai che non vorranno effettuare uno spegnimento completo ogni notte, ma invece potrebbero semplicemente ibernare le loro macchine. Che ovviamente infrangerà la protezione offerta dalla crittografia completa del disco. Quindi la tua funzione di sicurezza essenziale viene spazzata via, nonostante tutti sappiano che è prezioso. La soluzione richiede quindi un collegamento con i livelli più alti per articolare il problema, eventualmente facendo riferimento alla legislazione sulla protezione dei dati, e quindi con l'IT.

Capisci i driver per i tuoi utenti? Se non parli con loro, non lo farai - e per dirlo non intendo davvero evangelizzare sulla sicurezza. Voglio dire ascoltarli, ascoltare le loro invettive sull'IT che non funzionano, ascoltare ciò che pensano di dover fare come parte del loro lavoro giornaliero, poi andare via e analizzare quale impatto hanno i loro driver e le loro aspirazioni sui tuoi obiettivi di sicurezza.

Perché alla fine della giornata in molte organizzazioni la sicurezza è vista come un blocco, qualcosa che impedisce semplicemente alle persone di essere in grado di lavorare; e poi quando l'organizzazione viene violato è colpa del team di sicurezza per non renderli sicuri.

Consapevolezza a livello di base, quindi crea la tua strategia di sicurezza per supportare la strategia IT e la strategia aziendale. Il supporto a livello utente renderà molto più semplice integrare la sicurezza nei progetti di miglioramento e BAU.

So che è più come un commento che come una risposta, ma ... (oltre alla risposta di Rory)

Smalltalk, smalltalk, smalktalk !!!

Il modo migliore per parlare con loro, specialmente quando hanno una pausa. Interferire con il loro lavoro di routine può essere MOLTO controproducente. Inizia con argomenti completamente non correlati (ho trovato un'ottima app sul Market. Riguarda ...) e lentamente ti propongo come argomento di cui vuoi discutere.

E, dalla mia esperienza, ho consigliato di evitare interazioni formali - mettono troppo stress sulla persona e di solito non si ottengono più dati che si vorrebbe semplicemente a causa della paura di fare / fare qualcosa di sbagliato.

Usabilità, usabilità, usabilità.

Se vuoi che l'utente si comporti in modo sicuro, deve essere il percorso più facile da seguire. La sicurezza in genere non rende le cose più facili. Gran parte di questo è colpa nostra per aver dato loro requisiti difficili.

Qualcosa di semplice come chiedere all'utente "Inserisci la tua nuova passphrase di tre o più parole" invece di richiederli "Seleziona una password di almeno 10 caratteri stampabili ASCII contenente almeno una lettera maiuscola e una cifra o uno speciale il carattere, escludendo la e commerciale, l'apostrofo e le virgolette "contribuirà a incoraggiare un comportamento sicuro senza essere difficile da utilizzare. Psicologicamente, tre parole sono più corte di 15 caratteri, quindi le persone hanno meno probabilità di essere frustrate.

Può essere davvero importante per un'organizzazione avere uno staff sufficientemente attento alla sicurezza per essere resistente a diversi tipi di attacchi contro la persona e i sistemi che sta utilizzando.

Per trovare la consapevolezza degli utenti in merito alla sicurezza, ma anche aiutare a promuovere e rendere la mentalità della sicurezza una proprietà intrinseca per tutti i dipendenti, ti consiglio di affidarti alla direzione per avere personale orientato alla sicurezza. Fornisci una formazione adeguata al management su quali sono i fattori importanti e fagli sapere che le conoscenze sulla sicurezza del tuo personale potrebbero essere un indicatore di rendimento . Questo è un primo passo fondamentale, a mio parere, per ancorare correttamente la necessità di misurare / scoprire la mentalità dei nostri utenti.

Ad esempio, come rispondi a queste domande?

• Quanto bene svolge un dipendente nella sua funzione lavorativa? Rispetto agli altri e rispetto a KPI.
• Che cosa pensano i dipendenti dell'azienda?

Se hai già dei modi per rispondere alle domande di cui sopra, allora penso che sia necessario introdurre la consapevolezza della sicurezza in quei processi. Il mio punto è che il processo di conoscenza della mentalità dei nostri utenti dovrebbe essere integrato nel processo per rispondere alle domande di cui sopra. Alcuni esempi su come potresti rispondere alla tua domanda e anche quanto sopra:

• Crea un sondaggio tra i dipendenti costituito da domande importanti per l'organizzazione. Fai questi annualmente.
• Far lavorare le risorse umane in domande di sicurezza per colloqui di lavoro.
• Nel tuo discorso annuale dei dipendenti, assicurati di interrogare il tuo dipendente su ciò che pensa sulla posizione corrente sulla sicurezza. Rendilo uno dei KPI su cui misuri i tuoi dipendenti.
• Chiedi ai dipendenti di rispondere ai questionari annuali orientati alla sicurezza.

Domande di esempio per interviste, colloqui con i dipendenti e questionari (per una maggiore consapevolezza, rispondi subito alle domande invece di dare loro un punteggio finale):

• Quale di questi è considerata una password complessa
• Quale di questi siti NON accederai a
• Come puoi identificare se stai comunicando utilizzando un canale sicuro sul sito che stai utilizzando?
• Che cosa significa il seguente messaggio?
• Checosafaresti,perfareilmigliorlavoropossibile,sequalcunotichiamaincasodiemergenzaperottenereunatrattenutadidocumentisulserverdiarchiviazioneintranet?
• Perchédovrestiavviareiltuocomputerquandoilcomputerlorichiede?
• QualediquesteminaccebloccailPC?
• QualeèconsideratounmodosicuropersmaltireiltuotelefonocellulareoiltuoPC?
• Qualediquesteretiwirelessverrebbeprobabilmenteconsideratasicuraancheperlaconnessione?
• Qualeindirizzoemailuserestiperregistrartialsitodellatuasquadradicalciofigliecon?

Aggiornamento:SANS ha twittato oggi di aver rilasciato nuove risorse per misurare il rischio e il comportamento umano.

Metrics give you the ability to track and measure the impact of your security awareness program. This can be used to improve your training, demonstrate return on investment, or compare your human risk to other organizations in your industry.

Sono disponibili un paio di risorse diverse:

• Matrice metriche.

  This spreadsheet identifies and documents different options for measuring your security awareness program

• Misurazione del rischio umano - Sondaggio

  This twenty-five question survey will help you determine the human risk in your organization. Each question and its respective answers have different levels of risk associated with them. Depending on how your employees respond, you can add up the answers and determine a quantitative value of your human risk.

• Pacchetto di pianificazione delle valutazioni di phishing

  Phishing assessments are not only a simple and effective way to measure the impact of your awareness program, but a very powerful way to reinforce key training concepts. This package helps you step by step plan, build and implement a successful phishing assessment program, including several templates.

IMO, abbiamo solo bisogno di raggiungere gli utenti al livello di cui abbiamo bisogno per proteggere la società. Ciò significa che la formazione sulla sicurezza non dovrebbe essere una diapositiva in bundle che riproduce una voce monotona, ponendo alla fine alcune semplici domande a scelta multipla. Invece (e non sono ingenuo fino al punto che il budget deve svolgere un ruolo in questo caso), la formazione sulla sicurezza degli utenti dovrebbe essere personalizzata in base ai ruoli specifici dell'azienda. Se Joe User viene progettato e posseduto socialmente, la tua strategia di difesa dovrebbe essere molto diversa da quella che avrebbe se fosse Joe CEO. Se la strategia di difesa è diversa per questi utenti perché la posta in gioco è diversa, perché la formazione degli utenti dovrebbe essere la stessa?

Per quanto riguarda l'interazione sociale come "scantinati che vivono nel seminterrato", penso che tu sia un punto adatto. Dobbiamo lavorare su una comunicazione chiara che sia appropriata per il livello del ruolo con cui abbiamo a che fare. Inoltre, la sicurezza (almeno nella mia esperienza) tende a non essere il reparto preferito di un'azienda, quindi avere buone relazioni pubbliche nella costruzione di relazioni di lavoro potrebbe eventualmente aiutare a spostare questo stereotipo. Non sono sicuro di quanto si trasferirebbe a una maggiore sicurezza.