L'addestramento alla sicurezza online è efficace?

6

Sto guardando un'organizzazione che richiede che tutti i dipendenti seguano un corso annuale di sicurezza informatica online di un'ora (guarda un video e fai un quiz, apparentemente costruito usando Formazione per la sensibilizzazione alla sicurezza dell'utente finale di SANS ).

C'è qualche prova sul fatto che sia efficace e quanto sia efficace? Ad esempio, esiste una misura o una stima di quanto questo tipo di formazione alla consapevolezza della sicurezza informatica online riduca gli incidenti di sicurezza o migliori i risultati in qualche altro modo misurabile? Ci si dovrebbe aspettare una riduzione del 5% dei compromessi di sicurezza? Riduzione del 50%? Riduzione dello 0%?

Ho controllato il sito Securing the Human di SANS, ritenendo che se ci fossero prove o dati quantitativi lo avrebbero mostrato in modo prominente, ma non sembrano dire nulla al riguardo.

    
posta D.W. 03.11.2015 - 05:32
fonte

1 risposta

4

L'efficacia di una serie di video online annuali di 1 ora che influisce sul comportamento degli utenti è molto bassa (le statistiche del settore sono variazioni dello 0-5% nel comportamento - forse statisticamente insignificanti). La conformità è più elevata nei giorni successivi all'allenamento, ma poi si allontana molto rapidamente. Questo tipo di allenamento deve essere associato ad altri supporti per vedere i risultati, ma è possibile vedere risultati positivi fino al 70% (adozione coerente di comportamenti mirati) con alcuni supplementi a questo tipo di allenamento. La ripetizione della formazione, il supporto e il follow-up sono forse più importanti del trasferimento della conoscenza stesso.

Per quanto riguarda gli integratori, i metodi più efficaci includono la ripetizione periodica dei comportamenti e un feedback immediato all'utente sulla correttezza del comportamento presentato. La forma più comune di questo è il phishing simulato, ma può includere qualsiasi comportamento che l'organizzazione desidera vedere.

In alcuni programmi di simulazione di phishing, gli studi hanno mostrato una diminuzione degli utenti che fanno clic sui collegamenti nelle e-mail fino al 70%. Questo di solito richiede test regolari e gli utenti imparano lentamente cosa fare nel tempo. La chiave è regolarità e feedback immediato.

Questo stesso approccio può essere fatto per le politiche relative alle password, tailgating, blocco dei computer, rapporti sugli incidenti, gestione dei dispositivi USB, ecc.

La consapevolezza è consapevolezza. Il trasferimento della conoscenza è trasferimento di conoscenza. Ma il cambiamento comportamentale è una partita diversa. Inizia con la conoscenza (a volte), ma poi deve passare all'azione. E questo non può essere fatto con un video di 5 minuti.

(Sto scrivendo un libro su questo argomento)

    
risposta data 03.11.2015 - 06:03
fonte

Leggi altre domande sui tag