Chiến dịch nâng cao nhận thức an ninh hiện đại

Tôi đang tìm kiếm những cách khác nhau để nâng cao nhận thức bảo mật cho người dùng 'bình thường'. Vì chúng thường không có nhiều sự chú ý và không có một chút hứng thú nào về chủ đề này, chúng thường là phương tiện nhận thức chính thức đơn giản là không hoạt động.

Tôi đang nghĩ về các phương tiện mới để nhận thức về bảo mật và muốn nghe những gì bạn nghĩ về chủ đề này, nếu bạn đã tiến hành hoặc biết về các chiến dịch nâng cao nhận thức thực sự hiệu quả.

Tôi đang nói về những sáng kiến ​​như công cụ internet đáng sợ của Symantec hoặc bảo mật chánh niệm .

Ngoài ra, liên quan đến nhân viên CNTT, những chiến dịch hoặc sáng kiến ​​bảo mật nào đã làm việc tốt hơn cho bạn?

Chúng tôi đã từng đưa những điều sau lên mạng nội bộ của mình, như một lời nhắc nhở thân thiện với mọi người rằng họ nên thay đổi mật khẩu thường xuyên. Tôi khá chắc chắn rằng nó hoạt động, bởi vì âm lượng của các cuộc gọi trợ giúp loại "Tôi quên mật khẩu" trong 2 tuần sau cao hơn mức trung bình!

Thật khó để kết hợp một hoạt động. Nó giúp có nội dung hấp dẫn và một số phần thưởng (ví dụ: chạy một bài kiểm tra đơn giản và cho đi một cái gì đó quan tâm). Nó giúp có các nhà lãnh đạo có ảnh hưởng trong tổ chức của bạn tích cực thúc đẩy sự tham gia vào chiến dịch nâng cao nhận thức.

Microsoft có một bộ công cụ mà bạn có thể tải xuống trong đó có một số ý tưởng trong đó. Sophos đã phát hành một số tài liệu gần đây cũng có ý tưởng tốt. Cũng như Symantec (như bạn đã đề cập) và hầu hết các tổ chức CNTT hàng đầu, vì đó là cách họ có thể trượt trong một số tiếp thị.

Tôi đã tìm thấy những chủ đề thành công nhất về nhận thức là những chủ đề có lợi ích ngay lập tức và rõ ràng. Thay đổi mật khẩu thường xuyên không có lợi ích rõ ràng cho hầu hết người dùng. Tương tự với việc tránh nhấp vào quảng cáo trực tuyến. Nhưng nếu những điều này có thể được diễn đạt theo cách thu hút khán giả của bạn thì bạn có nhiều khả năng thành công hơn. Ví dụ, nếu bạn có cha mẹ, họ sẽ nhạy cảm với lời khuyên bảo mật máy tính có thể bảo vệ con cái của họ (ồ và tình cờ cũng dạy cho chúng thực hành công việc tốt).

Về nhân viên CNTT, nhận thức về bảo mật dường như ít ảnh hưởng hơn. Theo kinh nghiệm của tôi, các thủ tục và chính sách rõ ràng, hướng dẫn quản lý tốt và văn hóa bảo mật sẽ thành công hơn, theo kinh nghiệm của tôi.

Chỉ có rất nhiều bạn có thể làm với đào tạo, đặc biệt là khi không có hậu quả (nhận thức) cho việc không tuân theo các quy tắc.

Chúng tôi trong lĩnh vực bảo mật cần phải đồng ý với thực tế là mọi người có những điều tốt hơn để làm với thời gian của họ hơn là tuân theo các quy tắc ngớ ngẩn của chúng tôi, hầu hết họ không hiểu và bất kỳ hậu quả nào đối với người dùng đều bị trì hoãn (giờ, tuần , tháng) mà đa số sẽ không bao giờ học được. Đó là tâm lý thuần túy và chúng ta thực sự cần phải có manh mối từ 60 năm tiếp thị / quay vòng / thao tác đã dạy chúng ta về bộ não con người.

Lựa chọn tốt nhất của bạn là thao túng con đường thành công của bạn. Bất cứ điều gì bạn đang cố gắng để người dùng của bạn làm, hãy làm cho cách an toàn của bạn trở thành cách dễ nhất / nhanh nhất / rẻ nhất. Người dùng bỏ qua lời khuyên bảo mật vì nó có thể tiết kiệm cho họ 2 giây, vì vậy hãy thưởng cho hành vi tốt bất cứ cách nào bạn có thể.

Ví dụ: Nhiều năm trước, tôi đã ở trong một tổ chức bị người dùng chọn cùng một mật khẩu trên nhiều hệ thống và các hệ thống này chấp nhận truy cập telnet từ bất cứ đâu. Điều này đã bị những kẻ tấn công khai thác trong hơn một lần.

Giết telnet và đi đến ssh với xác thực khóa đã giải quyết vấn đề bảo mật và loại bỏ nhu cầu người dùng nhập tên người dùng và mật khẩu trên mỗi kết nối từ xa. Việc không gõ mật khẩu của họ cho mọi kết nối mới khiến họ phải mở khóa ssh bằng cụm mật khẩu mỗi sáng.

Một số người cho rằng các chiến dịch nâng cao nhận thức bảo mật hiếm khi có tác động tích cực lâu dài, nhưng tôi nghĩ chìa khóa là để có được thông điệp mà người dùng phải đối mặt, nhưng theo một cách tích cực.

Chúng tôi đã sử dụng các thông điệp hài hước khác nhau được hiển thị dưới dạng hình ảnh ngẫu nhiên trong trình bảo vệ màn hình tiêu chuẩn mà tổ chức của chúng tôi sử dụng. Giá rẻ, và đạt đến toàn bộ tổ chức. Ngoài ra, việc đăng các bài đăng thông tin trên mạng nội bộ về các chủ đề kịp thời cũng có thể hữu ích, ví dụ như làm thế nào để sử dụng mạng xã hội một cách an toàn. Các vấn đề kỹ thuật khác, như chất lượng / tuổi thọ mật khẩu nên được thực thi bằng các hạn chế kỹ thuật, không được để lại như một lựa chọn cho mỗi người dùng.

Khi tôi bắt đầu làm việc trong một công ty trước đây với khoảng 60 nhân viên, Post-thậm chí còn không được giấu. Họ bị kẹt vào màn hình, vì nó tiết kiệm thêm một bước nữa là phải nhấc bàn phím hoặc điện thoại lên để đọc nó. Nỗ lực trong một quá trình giáo dục bán buôn là một sự lãng phí hoàn toàn thời gian. Một khi tôi nhận ra rằng tôi đã có một cuộc nói chuyện với những kẻ phạm tội tồi tệ nhất. Khi có thể tôi xác định những người thích trò chuyện và buôn chuyện và tập trung sự chú ý của tôi vào họ và để họ (vô tình) giúp tôi truyền bá thông qua tin đồn của họ.

Có thể mất khoảng 3 tháng hoặc lâu hơn nhưng kết quả rất tốt. Một khi các nhà quản lý cấp cao đưa ra gợi ý, thường thông qua lời nhắc nhở từ chính nhân viên của họ, mọi thứ trở nên chính thức hơn rất nhiều và công việc của tôi (về mặt đó) đã được thực hiện.