web-dev-qa-db-ja.com

エンドユーザーのセキュリティ意識の測定

従来のメールフィッシングテストとは別に、組織内のエンドユーザーのセキュリティ意識を測定するために使用できる他のセキュリティの主要業績評価指標は何ですか?

SANS重要なセキュリティコントロール#9 を見てください。

  • 9.4定期的なテストを通じて認識レベルを検証および改善し、従業員が発信者を認証するための適切な手順に従わずに、疑わしい電子メールからのリンクをクリックするか、電話で機密情報を提供するかどうかを確認します。対象となるトレーニングは、運動の犠牲者に提供されるべきです。

フィッシングメールを超えた表示や、電話で機密情報を提供する表示を付けようとしています。たとえば、組織で感染したUSBを使用することの危険性を人々が認識していることをどのように知ることができますか? USBの使用を無効にすると、セキュリティ違反は防止されますが、エンドユーザーが問題を認識できるようになります。ユーザーは通常、これをタスクの実行を妨げる迷惑なコントロールと見なします。 USBはほんの一例ですが、ユーザー名を共有することの危険性をユーザーが認識していることをどのように知ることができますか?そして同様に他の間違った習慣。調査によって主題について彼らの答えを得ることは一部ですが、他の兆候はありますか?

awarenessend-user
13
AdnanG

初歩的なトレーニングプログラムでは、重要な問題についてユーザーを最小限に教育する必要があります。その有効性を測定することで、ユーザーが安全かつ効果的に仕事を行うために必要な関連情報を確実に取得できるようになります。

ジョブ固有の情報セキュリティ問題の認識を評価する調査を送信し、従業員のスコアを確認します。

  1. どのくらいの頻度でパスワードを変更する必要がありますか?
  2. 機密情報をビジネスパートナーに送信する適切な方法は何ですか?
  3. 電話であなたの個人情報について話し合うのは誰に安全ですか?
  4. 安全なサイトを特定するにはどうすればよいですか?
  5. 安全な電子メールをどのように識別できますか?
  6. 「フィッシング」とは何ですか?
  7. ソーシャルネットワークを使用する際のセキュリティリスクは何ですか?
  8. あなたは(またはあなたが)ソーシャルネットワークにどのような情報を載せましたか?
  9. コンピュータウイルスはどのようにして回避できますか?
  10. どのような種類のインシデントを報告する必要がありますか?

等.

6
Lucas NN

ここで一歩外に出て、私は定期的なドリルとRed Teamのシミュレートされた攻撃によるテストを信じています。赤いチームがソーシャルエンジニアリングやその他の種類の妥協に成功した場合、その認識は無効になります。

推論:KPIと調査、そして何を測定して報告しないか平均。攻撃者は平均に興味がありません、CFOの秘書に属するラップトップ、または何でも攻撃します(Sec.SEの住人の1人による最近のコメントから引用)最も弱い彼が見つけたスポット。

また、自己満足対策を探しています。通常のドリル、スポットチェック、および実際の攻撃の非常に現実的な脅威よりも、ユーザーをつま先に留めるのに最適な方法を見つけることができません。

enter image description here

6
Deer Hunter

1つのKPIについて決定したのは、報告されたインシデントの量です。現在のフェーズでは、より多くのインシデントを報告してほしいと言います。報告すべき/気づいている人が十分ではありません。量が増えると、これは主に意識の高まりによるものです。特定のポイントから(レポートが実際に着実に増加しない場合)、インシデントの少ないレポートに切り替えて、インシデントの数を減らします。これは、レポートにまだ依存していないことを意味しますが、将来的には依存します。

別のKPIは、実際にトレーニングされた人々の量かもしれません:それらを追跡します。 3番目のKPIは、調査を行うことによって人々が覚えているポリシーの量になる可能性があります。しかし、私は人々が回答を真剣に受け止めるのに十分な献身的な多肢選択調査にしか記入しないことを発見しました。

2
johan vd Pluijm

SANS Secure The Humanは、考慮すべきKPIのリストを公開しています。

https://securingthehuman.sans.org/resources/metrics

彼らはそれを「追跡」メトリック(トレーニングを完了した人)と「影響」メトリックに分割して、トレーニングが与えた影響を測定しようとしました。

  • 時間の経過とともにフィッシングに成功した人の数
  • フィッシングを報告した人数
  • 感染したコンピュータの数
  • ソーシャルネットワーキングサイトに機密情報を投稿している人の数
  • 等.

基本的に、トレーニングするすべての動作を指標に変換できます(明らかな理由により、インスタンスの数ではなく、人数を追跡します)。

私の本( 恥知らずなプラグイン )には、考慮できる従来とは異なるメトリックタイプがいくつかリストされています。例えば:

  • トレーニングまたはアウェアネスプッシュ後の最初の2週間のユーザーの誤検知レポートの数
  • 繰り返し犯人の数
  • 内部認識サイトへのユニーク訪問者の数
  • セキュリティチームへのクエリ数
  • トレーニング資料のエラーのレポート数(意図的なエラーをいくつか含めた後)
  • 等.

これは、販売Webサイトでユーザーを追跡する場合と同じように扱う必要があります(Webユーザー追跡チームに問い合わせてください。彼らはアイデアを助けることができます)。 behavioursをトレーニングし、-change in behaviourを経時的に追跡する必要があります。

2
schroeder

意識して、私たちが達成しようとしているのは、脅威と対応の基本的な理解です。これは、講じられたさまざまな対策の背後にある理論的根拠をより詳細に理解および理解することを求めるトレーニングや教育とは異なります。

したがって、意識を促進するための鍵は、単に暴露することです。スタッフがこのようなセキュリティメッセージにさらされるほど、意識が高まります。意識を高める簡単で安価な方法の1つは、マグカップ、マウスパッド、マグネットなどにセキュリティメッセージを印刷して、スタッフに配布することです。

上記の装身具をデザインするコンテストを開催し、賞品を贈ることができます。 KPIを測定するには、送信の量/質に基づいてKPIを決定できます。冒険したい場合は、これらの装身具の中に手掛かりを植え、謎や問題を解決した従業員に賞を授与することもできます。

誇大広告を生成し、より多くの人々にそれについて話してもらうことによって、あなたは意識のあなたの目的を達成したでしょう。

ほとんどの人は合格のために勉強するだけで、知識を内面化しないので、私は調査やアンケートのファンではありません。

2
limbenjamin