Qualcuno ha raccomandazioni valide per l'implementazione e il mantenimento della formazione sulla consapevolezza della sicurezza? Non sto cercando un fornitore specifico, ma sto cercando di ottenere informazioni su come il materiale viene effettivamente presentato e su come testare le persone su ciò che hanno imparato.
Siamo una società distribuita di 350 persone, quindi l'addestramento pratico probabilmente non funzionerà.
Ecco un link a una pletora di contenuti (la maggior parte se non tutti gratuiti). SANS ha alcuni contenuti piuttosto buoni, ma il contenuto migliore che puoi fornire è quello che crei. Questo perché quello che stai cercando è così ampio, sarà troppo per la persona media da ingoiare, che alla fine sconfiggerà il punto.
C'è NIST SP800-50 , ma ancora, questi tendono ad essere così ampi, diventano 1) noiosi e 2) ignorati. Aiuta immensamente a personalizzare la formazione intorno alla tua attività, non ciò che gli altri hanno fatto per loro (NIST, CoBIT, ITIL) poiché tutte le aziende hanno obiettivi, obiettivi, ecc. Diversi. Quello che ho trovato è che costruisci il tuo e inviando N quantità di promemoria via e-mail, funziona meglio.
Condividerò una storia con te che ho avuto quando sono andato per un pentito a una società di reporting finanziario. Entrando in un'azienda in MA, il management di livello superiore era scettico nei confronti dei concetti di sicurezza MOST. Ho spiegato le cose in analogie che li hanno aiutati a "capirlo". Dopo aver discusso le cose per circa un'ora, mi hanno mostrato un poster ritagliato a grandezza naturale di qualcuno in piedi dietro a qualcun altro che impugnava una pistola. Era un cartone animato come un poster, ma minaccioso. Il messaggio previsto era: "questo ragazzo armato che non vedi vuole la tua password". I messaggi trasmessi: 1) Gli hacker ci uccideranno 2) La sicurezza è sproporzionata, nessun hacker corre in giro con le pistole 3) Da che videogioco è?
Le analogie fanno miracoli. Il collega medio non si immergerà in cose come: AV * EF, Cipher-block Chaining, differenze tra EDE EEE, ecc., Tuttavia se lo si formatta in un modo che abbia senso e che possa essere riportato all'esterno DEL LAVORO ( ad esempio, come può aiutare a mantenere i loro conti bancari personali e le informazioni personali sicure), funzionerà 1000 volte meglio.
Leggi altre domande sui tag user-education professional-education