L'educazione dell'utente è considerata una misura di sicurezza?

2

Alcune persone pensano che un dispositivo iOS sia più sicuro da un contesto di sicurezza rispetto a un dispositivo Android, perché un dispositivo iOS non consente semplicemente agli utenti di installare app da qualsiasi sorgente diversa dall'App Store, mentre Android ha un'impostazione configurabile dall'utente per questo . Ovviamente ci sono molte più ragioni per cui l'una o l'altra è più sicura, ma quelle cose lasciate da parte. Altri esempi di vita reale possono includere l'avviso all'utente di essere connesso a una rete pubblica o addirittura di bloccare l'uso di un programma quando è connesso a una rete pubblica.

Soprattutto nell'ultimo esempio l'utente non ha il controllo e questo mi ha fatto pensare alla linea tra sicurezza (se questo è anche sicurezza) e "libertà dell'utente".

  • L'educazione dell'utente è una misura di sicurezza nel contesto degli esempi forniti o abbiamo nomi diversi per questo tipo di misure?

  • Bonus: ci sono linee guida sulla sicurezza o best practice su quando informare l'utente (warn) e quando bloccare l'utente dal fare cose specifiche (come installare un'app)?

posta Rolf ツ 18.07.2017 - 17:49
fonte

4 risposte

9

Sì, la consapevolezza e la formazione della sicurezza degli utenti sono parte integrante di una politica di sicurezza globale.

Gli esseri umani sono spesso considerati il punto più debole della catena di sicurezza, poiché è possibile correggere una vulnerabilità del software, ma non è possibile patchare un umano. Il meglio che puoi fare è sensibilizzare le persone e mantenere regolarmente la loro attenzione su potenziali problemi di sicurezza che riguardano le loro attività quotidiane.

In genere, quando uno strumento è disponibile (intendo che è lì, pronto per l'implementazione) che consente di applicare la tua politica, non c'è motivo di non usarlo. Se questo strumento influisce negativamente sui tuoi utenti, questo non significa che gli strumenti non dovrebbero essere installati, questo significa che potrebbe essere necessario rivedere la tua politica.

Ma purtroppo non tutto può essere automatizzato, e ci sono molte aree in cui semplicemente non ci sarà nessuno strumento. Nessuno strumento impedisce a un utente di fornire la sua password al telefono, aprendo la porta a qualcun altro o condividendo il suo badge di accesso.

L'obiettivo della formazione sulla consapevolezza della sicurezza sarà sia:

  • Affrontare queste aree in cui la sicurezza si basa quasi esclusivamente sul comportamento degli utenti perché non esiste un modo tecnico pratico per applicare la politica (o perché gli strumenti non esistono o perché l'azienda ha scelto di non implementarli: forse sono troppo costosi, troppo complessi, ecc.)

  • Per impedire agli utenti di aggirare le misure tecniche attuali: le misure di sicurezza dovrebbero aiutare gli utenti a rispettare la politica di sicurezza, gli utenti non dovrebbero vederli come ostacoli da bypassare altrimenti la sicurezza globale si indebolirà rapidamente.

risposta data 18.07.2017 - 18:23
fonte
1

La formazione per la sensibilizzazione alla sicurezza dovrebbe far parte della tua strategia complessiva di sicurezza informatica e la considererei una misura di sicurezza. La tecnologia non può che andare così lontano. Indipendentemente dalle soluzioni disponibili, è improbabile che siano efficaci al 100%, il 100% delle volte.

Fornire formazione sulla consapevolezza della sicurezza è essenziale. È così facile presumere che gli utenti finali abbiano una migliore comprensione della sicurezza che effettivamente hanno. MediaPro ha fatto un buon sondaggio su questo - link - anche se ce ne sono molti altri che hanno mostrato livelli scioccanti di consapevolezza della sicurezza. Gli utenti finali saranno sempre un punto debole, ma non devono essere necessariamente responsabili.

Raccomando anche di bloccare determinate attività rischiose. Ad esempio, bloccando determinati allegati nella posta elettronica (file exe, zip), bloccando i siti web di condivisione di file, ecc. Gli utenti dovrebbero avere un po 'di libertà, ma non c'è bisogno di correre troppi rischi.

    
risposta data 18.08.2017 - 16:58
fonte
0

Is user-education a security measure in context of the given examples or do we have different names for these kind of measures?

La formazione degli utenti nei tuoi esempi non è la misura di sicurezza. La misura di sicurezza è il controllo tecnico di fermarli fare qualcosa (o far rispettare qualcosa) e il controllo amministrativo di informarli su cosa dovrebbero o non dovrebbero fare.

Il fatto che la formazione / l'insegnamento ai tuoi utenti su cosa fare sia molto importante. Alcuni ricercatori e professionisti della sicurezza sostengono che gli esseri umani sono l'anello più debole in quanto non sempre seguono le regole e spesso prendono decisioni irrazionali. Questo è uno dei motivi principali per cui i controlli tecnici sono inclusi per imporre all'utente di rispettare un criterio associato.

Bonus: Are there security guidelines or best practices on when to educate the user (warn) and when to block the user from doing specific things (like installing an app)?

Questi variano in base a ciò che si spera di "proteggere". Un buon approccio è quello di implementare un approccio difensivo in profondità e, così facendo, puoi combinare diversi tipi di controlli per proteggere il tuo patrimonio. In questo caso, la formazione sarebbe un controllo amministrativo che avvisa gli utenti e un controllo tecnico potrebbe bloccare l'installazione di un'app.

    
risposta data 18.07.2017 - 18:19
fonte
0

L'istruzione è un strong punto di sicurezza. Sareste sorpresi di quante persone non siano a conoscenza del fatto che annunci, applicazioni, e-mail e altre forme di comunicazione possono contenere malware o rischi per la sicurezza. Nel complesso, aumentare la consapevolezza e la preoccupazione che tali azioni stiano accadendo è un buon inizio con qualsiasi gruppo aziendale o gruppo di utenti con cui si sta lavorando / consultando. Le misure di sicurezza dipendono strongmente anche dal tuo lavoro e dalla sensibilità delle informazioni in questione. Se stai lavorando con il materiale disponibile pubblicamente, non è un problema. Ma se le tue informazioni sono confidenziali, la libertà dell'utente dovrebbe essere limitata a bisogni minimi.

Quando si tratta di linee guida, sono sicuro che ci sono un sacco di articoli e documenti di ricerca su ciò che le persone dovrebbero fare per essere molto più sicuri. E nel corso degli anni le persone hanno sviluppato alcune pratiche. Per quanto riguarda l'accesso, è difficile decidere quando l'utente deve o non deve accedere a qualcosa. Nel tuo esempio, anche le piattaforme di chat possono diventare un pericolo, tutto si riduce alla consapevolezza degli utenti delle sue azioni e potenziali minacce là fuori.

    
risposta data 18.08.2017 - 10:15
fonte

Leggi altre domande sui tag