Come posso concentrarmi sul lato positivo della sicurezza delle informazioni per creare consapevolezza?

2

Vorrei sapere come posso creare un ambiente sano e positivo per la sicurezza delle informazioni. A causa di alcuni errori, questo non è il caso in questo momento presso la società in cui mi trovo. Sono uno stagista in azienda. Sono uno studente di ingegneria industriale olandese di 19 anni che fa uno stage di sensibilizzazione in InfoSec in un'azienda IT bulgara. Il mio lavoro è creare consapevolezza. Ho altri tre mesi. Prima che arrivassi lì, c'era già un sistema in atto, ma quel sistema era sul lato negativo / punitivo. Ho provato a metterlo a un livello successivo ma non ha funzionato.

Nota: non avevo alcuna conoscenza precedente di InfoSEc prima di iniziare questa 'sfida' e non capisco le specifiche delle cose relative all'IT. Solo input- > Black Box - > Uscita

Ho alcune conoscenze base sulla gestione dei cambiamenti e una certa conoscenza del controllo di gestione (indicatori chiave delle prestazioni, ecc.)

Mi piacerebbe sapere come posso cambiare l'approccio negativo come cercare il fallimento in positivo come cercare un successo senza rendermi completamente ridicolo / farmi odiare.

Sto cercando qualcosa in cui le persone siano felici e orgogliose di fare qualcosa di buono, ma non voglio fare complimenti tutto il tempo perché questo diventa fastidioso per le persone.

    
posta johan vd Pluijm 24.11.2017 - 18:30
fonte

3 risposte

2

Quello che stai cercando è un cambiamento nella cultura, piuttosto che la positività come obiettivo. Vorresti ribadire il tuo obiettivo, che è "Raggiungere una migliore cultura della cibersicurezza". Consiglio vivamente di guardare al programma SANS Secured the Human. Le risorse disponibili sono efficaci e guardano anche all'aspetto psicologico.

Punto di partenza suggerito: link

Dai un'occhiata al modello comportamentale di Fogg e ai vari modelli che puoi utilizzare (modello di visione di Kotter, intento di Heath-Commander, ecc.). Non si tratta solo di positività, si tratta di impatto e trasformazione. La positività gioca un ruolo, ma non ci si concentra solo su questo, altrimenti è difficile avere successo in 3 mesi.

Buona fortuna per il tuo stage!

    
risposta data 25.11.2017 - 14:57
fonte
1

Questo è un approccio molto migliore rispetto a provare a fare in modo che le persone segnalino violazioni .

Prima di tutto, le persone faranno cose che li riguardano o hanno significato per loro. Quindi suggerirei di fare riferimento a "questo è il modo in cui ti proteggiamo" piuttosto che come proteggere i dati aziendali. Insegna alle persone come proteggere il proprio computer di casa: lo prenderanno sul serio. Parla di come i cattivi vogliono avere accesso ai loro computer di casa e come lo fanno. Quindi usa questa conoscenza per aiutare i tuoi colleghi ad interessarsi alla sicurezza IT aziendale.

L'invio di una "newsletter sulla sicurezza" può essere una cosa positiva. Parla degli effetti positivi di una buona sicurezza IT - proteggendo i dati aziendali e la riservatezza dei clienti. Parla di come HealthCare Delivery Organizations lavora per mantenere la tua cartella clinica privata. Non cercare di spaventare le persone in sicurezza - ciò funzionerà solo per un po '. Se hai un numero di volte in cui i cattivi hanno provato ad entrare nella tua rete, sarebbe utile.

Ho anche visto una newsletter di sicurezza dove c'è un piccolo quiz e tutti quelli che prendono il quiz sono inseriti in un disegno per un piccolo premio.

La cosa migliore che puoi fare è assicurarti di non avere effetti sull'usabilità quando fai sicurezza. Questo fa solo impazzire gli utenti e fa in modo che cerchino di aggirare i controlli messi in atto. Alcune volte è necessario, ma ho anche visto team di sicurezza fuori controllo in cui "sì, siamo sicuri" è il mantra, ma tutti in compagnia sono frustrati perché devono saltare attraverso troppi telai per fare il loro lavoro .

    
risposta data 24.11.2017 - 20:15
fonte
0

Volete provare a sottolineare i benefici della buona igiene e delle buone pratiche di sicurezza. Dovrai metterlo in una lingua che l'azienda comprende, piuttosto che in una lingua di tipo tecnico o di sicurezza.

È difficile dare suggerimenti più specifici senza essere in grado di comprendere i tipi di iniziative di sicurezza che si hanno ma, trattandosi di una società IT, il primo argomento potrebbe essere quello della fiducia dei clienti. Avere buone pratiche di sicurezza che sono ben documentate, con processi e strumenti certificati, con standard chiari e amp; processi. Tutte queste cose possono aiutare i tuoi clienti a fidarsi di te di più: è molto probabile che abbiano un effetto positivo sulle vendite.

Forse scopri come Microsoft mette in risalto la loro sicurezza per Azure e Office 365 per vedere esempi di come questo può funzionare. Non è un caso che molte organizzazioni governative dell'UE ora preferiscano Azure rispetto alle altre soluzioni cloud globali.

    
risposta data 24.11.2017 - 20:03
fonte

Leggi altre domande sui tag