web-dev-qa-db-ja.com

企業のセキュリティトレーニングは、ユーザーの職務に基づいて調整する必要がありますか?

私は職場の情報セキュリティチームで働いています。私たちは保険およびヘルスケア業界で働いており、顧客のクレジットカード、財務、および個人の健康データを頻繁に扱います。

今日私はセキュリティ管理者と会って、今年の年次セキュリティトレーニングカリキュラムを計画していました。エンドユーザーの職務に応じて、トレーニングモジュールをカスタマイズすることを検討しています。例として:

  • ドメイン管理者などの特権ユーザー向けの追加のカスタマイズされたトレーニングモジュール
  • 顧客対応の役割で働くIT以外の従業員向けにカスタマイズされたトレーニングモジュール
  • おそらく防御的コーディングとソフトウェア開発の脆弱性に重点を置いた、開発者向けの個別のトレーニングモジュール-例:SQLインジェクション

ITドメイン管理者レベルのユーザーに関連するセキュリティリスクは、ITを使用していない顧客対応の従業員とは明らかに異なるため、セキュリティトレーニングを従業員の特定のニーズに合わせてカスタマイズすることは合理的であるようです。 IT従業員にとって重要で関連性のあるものは、コールセンターで働く顧客サービス担当者にとってはそうではない可能性があるため、1つのサイズですべてのアプローチに対応することは効果がないようです。

ただし、カスタマイズされたアプローチの欠点も確認できます。エンドユーザーは、特定のモジュールが提供されていないため、そのトレーニングモジュールは意味がないか重要ではないと考える可能性があります。言い換えると、エンドユーザーの従業員は、トレーニングで重要視しているものだけを関連付けるので、セキュリティの習慣をもっと緩めるように促すことができます。 この認識を避けたい

仕事の役割とそれらの役割に関連するさまざまな固有のリスクに基づいて企業のITセキュリティトレーニングをカスタマイズすることは良い習慣ですか?

上記以外に、このようなカスタマイズされたアプローチの欠点は何ですか?

22
Anthony

ここにセキュリティ意識の専門家(賞、ベストセラーの本)があります。

もちろん、トレーニングをロール/リスクに合わせてカスタマイズする必要があります/する必要があります。

多くの国際機関が実際にこれを重要だと呼びます:

それらは私が頭のてっぺんから思い出すことができるものでした。

しかし、最後の質問は、資料がどのように作成されるかについての誤解を示しているようです。

ベースライン標準を設定する

組織は、組織のリスクプロファイルを満たす認識の最小基準を設定する必要があります。つまり、everyoneは同じ基本的な基盤を取得します。その上に、役割固有の資料があります。

同じ資料、役割固有の例

しかし、それはより効果的になるためにそれよりも深く行くことができます。同じベースマテリアルを使用して役割固有のマテリアルを作成することを推奨しますが、例は役割固有です。人事部の例を海運部門に見せないでください。実用的な場合は、役割に固有の例を使用しますが、基礎が同じになるように同じ資料をカバーします。これは、資料が従業員にとって重要である理由を示すのに役立ちます。

リスクに対応するためのトレーニング

さらに、組織内のさまざまな役割がさまざまなリスクを経験することになるため、トレーニングではこれらの固有のリスクに対処する必要があります。財務と人事はさまざまなリスクを経験し、それらのリスクに対応するためにさまざまなツール/手順が必要です。海運部門は、まったく異なる一連のリスクを抱えることになります。トレーニングはriskに合わせてカスタマイズする必要があります。

はい、それは専任のセキュリティ意識向上カリキュラムデザイナーではない誰にとっても困難に見えるでしょう。それは大変な作業です。そして、それがほとんどの組織がそうしない理由です。しかし、そうすべきです。

イージーモード:チャンピオン

簡単にする1つの方法は、「チャンピオンズ」プログラムを採用することです。このプログラムでは、各部門/リスク領域の選択された個人が、設計、提供を支援するためにトレーニングされ、サポートされます。部門/リスク固有の資料の連絡窓口になります。これは、多くの組織で非常に効果的であることが示されています。次に、動作することが示されているカスタムマテリアルを取得し、それを学習プログラムに組み込んで、一貫性と再現性を高めます。

次のステップ:役割固有だけでなく対象ユーザー固有

さらに、組織内のさまざまな技術グループや人口統計グループにさまざまな素材を使用することも推奨します。 「フィッシングを発見する方法」のトレーニングは、ITの専門家とは異なり、コンセプトをこれまで聞いたことがない人とは異なる見た目にする必要があります。また、使用する言語と概念は、組織内のさまざまな人口統計グループによって理解される必要があります。たとえば、「ブラウザ」が何であるかを知っているかどうかを別の人に尋ねます。あなたはその言葉を聞いたことがない人を見るとショックを受けるかもしれません。つまり、「フィッシングを見つける方法」の資料では、その用語を使用しないか、その上で人々を訓練する必要があります。

卒業資料

私の資料では、スキルと知識のレベルが上がるように卒業しています。人々は、彼らがより低いレベルで熟達していることを示したときに、より高いレベルのロックを解除します。つまり、ITの専門家は基本的な資料を1回処理するだけで済みますが、高レベルの最新技術に挑戦します。新しい人はその素材で成長できます。

15
schroeder

ユーザーの要件を満たすようにトレーニングをカスタマイズするというアイデアは、実際には非常に優れたアプローチです。ただし、このアプローチには、組織内のすべての人に適した特定の追加が必要です。

そうは言っても、アプリケーション開発者に必要なトレーニングは人事担当者と同じではないと言うのは非常に正しいことです。

ただし、ISO 27001の構造を見ると、アクセス制御、資産管理と処分、知的財産権管理、事業継続手順、雇用手順、インシデントなど、すべての部門に適用できる多くの側面があることがわかります取り扱い、利用規定、クリアデスク、クリアスクリーンなど。私が上に挙げたこれらの項目のそれぞれは、誰にでも当てはまることがわかります。

トレーニングアプローチでは、これらすべてを考慮に入れながら、トレーニングを役割固有にする必要があります。私は部門固有のアプローチを取っています。一部のモジュールは特定の部門専用に予約されていますが、ほとんどのモジュールはすべての部門に適用できます。あなたのトレーニングスケジュールはこれらすべてをリストする必要があります。

最後に、従業員に伝えるトピックは、実際には組織の情報セキュリティ管理システム(ISMS)の制限内にある必要があります。したがって、ISMSが明確に定義されている場合は、組織に定義されているすべてのポリシーと手順を確認してください。これは、すべてのトピックを定義するための良い出発点になります。

22
Vikas

これはsecurityの質問よりもcommunicationの質問ですが、私は結果はグローバルなセキュリティ慣行に強い影響を与えることを認めなければなりません。ここで重要なのは、すべての従業員が、自分の活動は重要であると考えられており、彼らの不適切な慣行は深刻な影響を与えると考えることができるということです。

そのように提示した場合:

  • IT管​​理者は自分の仕事に特化したモジュールに従います
  • IT開発者は自分の仕事に特化したモジュールに従います
  • 非ITフェローはジェネラリストモジュールに従います

ITスタッフ以外のメンバーがセキュリティを懸念しないと考えるリスクは高いです。

私の以前の仕事の1つはITに重点を置いていなかったので、ITスタッフ以外のメンバーは次のプレゼンテーションにもっと関心を持つことができると思います。

  • すべての従業員が1つのジェネラリストモジュールを使用して、特定のアクティビティに関係なく、ベースがすべての従業員間で共有されます
  • グループごとに1つの追加モジュール

追加モジュールの内容は、ITグループ、管理者、開発者にとっては取るに足らないものです。

非ITメンバーの場合は、実際の活動に関連する例を見つける必要があります。社会的攻撃は財務チームの主要な懸念事項であり、機密性は顧客サービス担当チームの主要な懸念事項などです。このようにして、彼らの活動は深刻な結果をもたらすでしょう。

実際のコンテンツは最初のアプローチと大差ありませんが、見方は異なる場合があります。

2
Serge Ballesta