Idee per costruire consapevolezza della sicurezza

È stato affermato che "il fattore più debole nella sicurezza sono gli umani". Sfortunatamente questo è un collegamento debole che non possiamo eliminare, quindi dobbiamo affrontarlo.

Ho bisogno di idee per aiutare a costruire la consapevolezza intrinseca della sicurezza in un'organizzazione. Ho avuto alcune idee io stesso:

  • Tutti i client hanno uno screensaver obbligatorio che visualizza affermazioni come "Ricorda di bloccare il PC", "Indossa sempre un badge visibile", "Non permettere a nessuno di seguirti in una porta chiusa senza chiedere una chiave magnetica valida".
  • Invia SANS Ouch! alla newsletter per tutti.
  • Quiz persone con consapevolezza della sicurezza ogni anno
  • Presenta il OWASP Top 10 al personale pertinente, ad es. gli sviluppatori.

Quali sono le tue idee per creare consapevolezza della sicurezza?

    
posta Chris Dale 13.08.2012 - 07:33
fonte

3 risposte

Adori i suggerimenti che hai dato finora, li terrò a mente per riferimento futuro!

Il mio primo suggerimento sarebbe quello di attaccare i tuoi dipendenti. Non voglio dire che dovresti andare in giro con un ascia tutto "Ecco lo stile di Johnny!" , urlando alla gente riguardo le corrette pratiche di sicurezza, ma piuttosto fai degli attacchi informatici e giudica le loro risposte, poi spiega loro cosa hanno fatto giusto / sbagliato. Le persone imparano attraverso l'esperienza molto meglio di quanto apprendano leggendo una email.

Uno dei metodi più facili ed efficaci da provare è un sito web esterno contenente una schermata di accesso, con il logo della società. Invia e-mail ai dipendenti da un account esterno, sostenendo di essere il sysadmin, dicendo che hai un nuovo portale del personale. Ogni volta che un utente effettua l'accesso, indirizza direttamente a una pagina in cui spieghi che cosa è appena successo e in che modo potrà riconoscerlo in futuro. Includi il tuo numero di telefono e indirizzo email nel caso in cui l'utente volesse saperne di più. Ogni volta che un utente ti chiama per chiedere se è sicuro, o per segnalarlo come un problema di sicurezza, di 'loro che hanno fatto la cosa giusta e assicurati che il loro line manager sia consapevole del loro successo.

Il prossimo da provare è più diretto. Invia un'e-mail (di nuovo, da una casella di posta esterna) dicendo che il database sta avendo problemi e devi reinserire le password di tutti. Chiedigli di inviare le loro password a una "cassetta postale per l'aggiornamento sicuro delle password" e attendi. Ogni volta che qualcuno invia una password, spiega loro che si sono appena innamorati di un attacco di phishing. Il rovescio della medaglia di questo attacco è che dovrai resettare molte password delle persone!

Solo una parola di consiglio: ottenere l'autorizzazione per farlo prima di iniziare il progetto! ;)

    
risposta data 13.08.2012 - 07:56
fonte

Nella società per cui lavoro attualmente, investono nella formazione degli utenti attraverso molte vie. Ci sono giochi online con premi (pensa iPad), materiale didattico richiesto che deve essere preso ogni sei mesi, e e-mail regolari riguardanti la sicurezza (comprese le storie di violazioni da agenzie di stampa).

Tutti questi tendono a mantenere i dipendenti ben educati. la chiave più importante è la compatibilità del reparto IT. Mai gli utenti finali hanno detto "Una violazione della sicurezza significherà il tuo lavoro!", Ma piuttosto "Se succede qualcosa, faccelo sapere in modo che possiamo gestire rapidamente la situazione"

Questa mentalità impedisce agli utenti finali di aver paura di segnalare violazioni della sicurezza. Dal momento che non è un argomento spaventoso, sono più disposti a discutere della sicurezza con i loro colleghi e informano l'IT quando vedono ciò che ritengono potrebbe essere una violazione della sicurezza. Mentre la maggior parte di queste non sono vere e proprie violazioni, vale la pena scavarle per trovare l'una o due che potrebbero essere state catastrofiche.

    
risposta data 13.08.2012 - 17:55
fonte

La maggior parte dei reparti IT e, per estensione, molti team di sicurezza hanno un grosso problema di branding e marketing quando si tratta di sensibilizzazione e formazione sulla sicurezza.

Importa tanto come dici qualcosa come fa ciò che dici

Ricorda anche che, come hanno fatto riferimento altri rispondenti, la consapevolezza non è la stessa cosa della formazione e dovremmo sempre ricordare che vanno di pari passo.

Penso che sia importante innanzitutto iniziare con una strategia in mente su come intendi connetterti con il tuo pubblico di destinazione, chi è il target di riferimento e su quali tipi di informazioni possono essere o meno ricettivi.

Da lì, penso che sia importante che quando crei o conduca la consapevolezza e l'addestramento alla sicurezza, hai alcuni valori fondamentali o pilastri in primo piano. Il motivo è importante perché sempre vuoi essere coerente con il tuo messaggio. Quando deviate o diffondete idee casuali trovate su Internet, ciò porta a informazioni errate, il che porta a confusione, il che porta alla messaggistica che non mantiene la coerenza con ciò che è effettivamente importante per il vostro pubblico.

Per me quei pilastri sono:

  1. Vigilanza - Questo è enfatizzato dall'uso di temi coerenti e ricorrenti per ricordare agli utenti finali di avere sempre un po 'di scetticismo nella parte posteriore della loro mente quando usano internet, e-mail , ecc.

  2. Velocità di generazione di rapporti : a mio avviso, forse è il il più pilastro importante. Sottolineo sempre, in tutto ciò che invio e parte dei contenuti che creo, che è di vitale importanza che gli utenti avvertano IT / Sicurezza / ecc., Di eventuali e-mail sospette, siti Web che potrebbero aver visitato, comportamenti in ufficio. Tutto ciò che sembra o sembra o sembra essere nefasto o sospetto, per favore segnalalo immediatamente.

  3. Attenzione quando fai clic : questo è il buon senso che senti in tutto il settore. Pensa prima di fare clic, ecc. Ecc. Mentre appiccicoso o cliché, è un solido consiglio. Incoraggia e rinforza gli utenti finali a prendere alcuni secondi e analizzare il contesto che circonda quell'e-mail o quel link o quell'allegato o qualunque sia la situazione. Un altro buon termine per questo potrebbe essere la consapevolezza della situazione. Fuori dal contesto, un link in una e-mail per resettare la tua password e-mail potrebbe sembrare benigno. Finché non ti accorgi che è stato inviato da.

Quando creo contenuti, parlo di sicurezza con gli utenti finali, eseguo valutazioni o test, penso sempre a come i miei messaggi trasmettano prima queste tre cose.

Infine, penso che sia importante pensare alla consapevolezza della sicurezza, come un marchio o agli occhi di un'azienda di media. Newsletter e scoppi di email diventano noiosi. È importante considerare, come ho detto sopra, come stai comunicando quanto quello che stai dicendo.

    
risposta data 30.11.2018 - 19:51
fonte

Leggi altre domande sui tag