Esiste un programma efficace di sensibilizzazione dei dipendenti di ingegneria sociale?

Nota che sto scrivendo un libro su questo argomento.

L'ingegneria sociale consiste nel portare le persone a fare qualcosa. Per combatterlo, devi addestrare i tuoi utenti a fare qualcos'altro. Un video di 20 minuti una volta all'anno non è un mezzo efficace per influenzare il comportamento di qualcuno.

L'allenamento continuo e ricorrente, incorporato nelle normali routine di lavoro dell'utente, è il metodo più efficace per cambiare i comportamenti. Aggiungete a ciò scenari simulati (falsi phishing, ecc.) In modo che gli utenti abbiano la possibilità di praticare le proprie abilità in modo sicuro, in grado di consolidare i nuovi comportamenti a lungo termine. C'è molta ricerca e studio sull'efficacia di questo approccio.

La consapevolezza della sicurezza non è un esercizio "fuoco e dimentica". Richiede una "lenta gocciola" di conoscenza, addestramento e pratica supportata da un team di sicurezza accessibile e persino empatico.

Nel mio libro, paragono il problema al tentativo di far perdere tutta la forza lavoro di 5 sterline. Una volta che inizi a pensare in questo modo, inizi a vedere che il problema non è "qual è il miglior video da mostrare?" ma piuttosto, "come aiutare ogni persona ogni giorno?"

Il problema principale con la consapevolezza della sicurezza è che si tratta in gran parte del "frutto basso appeso". Nella mia esperienza, le campagne di ingegneria sociale sono in grado di rendere meno sofisticato il più ampio possibile. Se scegli come target la forza lavoro di un'intera grande azienda, hai solo bisogno di qualcosa che sembra semi-coerente per un dipendente della scrivania affamato di caffeina di fare clic distrattamente sul link / aprire il documento.

Se ti rivolgi a gruppi o individui specifici, è necessaria ulteriore ricerca, preparazione e cura per raggiungere lo stesso livello di successo (ammettiamolo, puoi fare una campagna su misura per un pubblico più ampio e avere una maggiore diffusione, ma la sartoria ha il questione inerente di diventare più specifico per il gruppo). Gli attacchi più sofisticati sono meno distinguibili dalla normale attività quotidiana dei lavoratori (non è possibile verificare manualmente ogni e-mail che si riceve).

Con tutti questi attacchi, un tasso di rendimento incredibilmente basso è tutto ciò che è necessario per essere considerato un successo. Il tuo addestramento per la consapevolezza della sicurezza deve diventare una seconda natura non solo per i tuoi esperti tecnici, ma anche per il personale amministrativo potenzialmente più banale e per i dirigenti impegnati. Tutti coloro che sono coinvolti devono avere questo immediato ripensamento ogni volta che arriva un'e-mail sospetta. Deve essere adattato al modo in cui è strutturata la tua organizzazione, al modo in cui operi e al tuo aspetto esteriore.

Un gruppo di materiali per la formazione di una sola taglia non è adatto a nessuno è più probabile che venga liquidato come generico e "beh, sì, ma ciò non vale per me lo fa? ". Ho cercato qualcosa che equivalesse a un modello standard, ma non ho trovato molto di più sopra i punti elenco di ciò che dovrebbe essere contenuto.

Per quanto riguarda le linee guida generali sulla consapevolezza su come essere a bada dagli attacchi di social engineering sono incluse nell'ultima versione di certificazioni riconosciute dal settore come CISSP e CEH.

I corsi di formazione online di siti come Udemy e plurasight hanno anche materiali sufficienti ed efficaci.