web-dev-qa-db-ja.com

会社のBYOD戦略を実装する場合、セキュリティユーザートレーニングはどのように提供すべきですか?

当社はBYODポリシーを実施しています。情報セキュリティチームの上級メンバーとして、経営陣と共同でエンドユーザートレーニングガイドライン/標準の草案を作成しています。当社は規制産業に属しており、PII/PHIを日常的に使用しています。会社の従業員は、サイバーセキュリティの背景(私のような)から完全に非技術的な(コールセンターのカスタマーサポート担当者など)まで、さまざまな技術的な背景を持っています。

BYODが実装されているので、エンドユーザーのセキュリティがユーザーの責任になるため、エンドユーザーのセキュリティコントロールとセキュリティ意識のトレーニングがはるかに重要になると思います 、以下にリストされているような責任。また、このようなインシデント を軽減するために、エンドユーザーからのインシデントレスポンスの責任がより重要視されています。

  • ユーザーデバイスのパッチ
  • AVとマルウェアソリューションのメンテナンス
  • 暗号化されたWiFIの使用とパブリックWiFiホットスポットの回避
  • ユーザーのデバイス上の個人データから会社データを分離するための会社データとユーザー要件の安全な保存と送信

ITを問わず、すべてのエンドユーザーに合わせて教育を調整する方法を考えています。私たちのチームは、トレーニングが十分に深くなるようにして、エンドユーザーが個人のデバイス上の会社データの保護に関する期待を理解できるようにしますが、エンドユーザーが混乱するほど技術的ではありません。ドラフトのために私が考えていること:

  1. 理由と内容に焦点を当てた非技術者向けの非常に高レベルのBYOD

  2. 上記と同じ高レベルのトレーニングですが、より技術的なノウハウを持つIT従業員のためのより技術的な詳細

質問:

  1. 企業の従業員にITセキュリティに関するトレーニング資料を提供する場合、どのレベルのトレーニングが適切であるかをどのように決定するのが最適ですか

  2. BYODを実装する際の責任と期待の増大についてエンドユーザーをトレーニングするためのその他の考慮事項はありますか

  3. 自社のデバイスから会社のITリソースにアクセスするサードパーティ/ベンダー(一部海外)に対して、トレーニング方法またはコンテンツに変更を加える必要がありますか?

2
Anthony

セキュリティコミュニティでは、BYODは「[〜#〜] b [〜#〜]ring[〜 #〜] y [〜#〜]our[〜#〜] o [〜#〜]wn[〜#〜] d [〜#〜]isaster "。

現実的な実装は、より一般的なアクセスネットワークから分離されたコアシステムを備えたセグメント化されたネットワークである必要があります。

企業へのアクセスは、企業が提供する暗号化されたVPN /トンネルアプリケーションと2FAを介してのみ行う必要があります。これは、個別の追跡を意味し、副次的な一般的な許可を意味します。

個人のデバイスへのアクセスを、サービスとプロトコルのホワイトリストに制限します。

包括的なネットワークアクティビティモニターを実行し、注意を払う必要があります。一般的なように、ログに記録して無視する必要はありません。

トレーニングでは、ネットワークの監視を強調する必要があります。個々のアクションが追跡および記録されることを明確かつ公開します。

幸運を!

1
user10216038

どのレベルのトレーニングが適切ですか?行動の変化をもたらすトレーニングのレベル。トレーニングの全体的な要点は、人々に異なるまたは一貫した行動をさせることです。これを達成するには、通常、さまざまなレベルの技術知識に対応するために、トレーニングの階層を作成する必要があります。

BYODセキュリティトレーニングに関する考慮事項の増加は、個人用デバイスで現在データを分類することへの意識の高まりに関係しています。彼らは、会社の機密データとPHI/PIIデータをポケットに入れて歩き回っています。もう1つの注意点は、個人のデバイスを家族に渡すことの影響です。彼らは会社の電話を幼児に渡すことについて二度考えているかもしれませんが、それが自分の電話であるときはそれについて考えないかもしれません。

サードパーティと同様に、トレーニングの変更は、上記と同様に、どのような動作をさせるかによって異なります。それらに異なる動作をさせたい場合は、異なるトレーニングを行ってください。

0
schroeder

出荷前に修正できないバグについてのジョークを見たことがあります。 「マニュアルで修正します」と書いてありました。また、マニュアルに記載されていなかった場合:「トレーニングを提供します。」

これで、その行の終わりです。トレーニングを提供する必要があります。ただし、データとプロセスを保護するための技術的な対策、プロセス、監視などがすべて整っていない場合、トレーニングの量は十分ではありません。あなたは述べる:

BYODが実装されているため、セキュリティコントロールとセキュリティ意識のエンドユーザートレーニングがはるかに重要になることがわかります[...]

基本的には、トレーニングでセキュリティの欠陥を解決しているということです。

ラップトップに機密データを保存しない、ラップトップが盗まれたときに報告する、ラップトップ/電話などを再販する前にきれいに拭くなど、おそらくいくつかのガイドラインがすでに設定されています。私の経験では、人々が実際にこれを行うことを保証するトレーニングの量はありません。

問題は、人々が仕事をする必要があることです。自動化の聖杯を見つけない限り、それらは常にシステムの限界に達し、それを回避します。これは、特定の会議やその他のさまざまな理由で便利なため、個人用デバイスにデータを保存することを意味します。そして、彼/彼女はデータを利用可能にしたことに対して賞賛を得ます、そして個人的なデバイスにデータを持っていることに対する叱責ではありません。

トレーニングでは、少なくとも次の点に取り組むことをお勧めします。

  • 私たちが扱っているデータの種類、データが失われた人々への影響、および会社への影響
  • 何か奇妙なものを見つけたら報告してください。これは、これらのレポートを処理し、苦情に対して何が行われたかに関するフィードバックを提供するプロセスによってバックアップする必要があります。また、これらのレポートにはオープンな雰囲気があり、カフカのプロセス処理ではありません。
  • 参加者が規則を破ることなくどのように仕事をするかを尋ねることができる部分があります。
  • セキュリティを監視していることだけを伝えないでください。
  • 技術的に可能なことは、それが許可されていることを意味するものではないことを彼らが理解していることを確認してください。
  • そしてもちろん、パッチを適用し、Bitlocker/Luks/etcを使用し、アンチウイルス、強力なパスワード、および技術的なもののs * tloadがあることを確認してください。
0
Ljm Dullaart