web-dev-qa-db-ja.com

非IT担当者向けのセキュリティトレーニングにはどのトピックを含める必要がありますか?

(この質問がsecurity.stackexchange-boardに当てはまるかどうかはわかりませんが、 質問可能なトピックのリスト はこの質問を除外せず、いくつかあります

私は、IT部門を外部委託しているいくつかの異なる会社で働いてきました。これは、会社の人々が主にテクノロジーを使用していることを意味しますが、特にセキュリティに関しては、テクノロジーについて深く理解していません。

したがって、私は1つまたは2つの小さなワークショップ/トレーニングを提供するというアイデアをいじっていました。そうすることで、少なくともコンピュータのセキュリティが重要であり、何が重要であるのかについて、少なくともアイデアを得ることができます。これをやりたいのは、受け手と双方が学んでも、人間の知識は共有すべきだと思うからです。私の同僚はセキュリティをよりよく理解し、私は彼らの視点をよりよく理解するかもしれません。

それで私は腰を下ろして、対象となる聴衆を念頭に置いて、必要かつ有用なトピックのリストを考え出そうとしました。

トピックが不足していますか?他のトピックがありますか?コンピュータのセキュリティを扱うとき、何を学ぶ必要がありますか?

トピック:

  1. なぜコンピュータのセキュリティ? (コスト、ランサムウェアが完全な会社を止める、...)
  2. パスワード(適切なパスワードとは何か、保存方法、異なるアカウントで同じPWを使用しない、など)
  3. 職場を離れるときに画面をロックします(なぜなら...?何が起こるかについて良い例が見つからなかったため、これも優先度が高いですか?)
  4. それが何であるかを視覚化するためにハッキングの例を示すべきですか?たとえば、古い携帯電話やタブレットは、オープンソースソフトウェアを使用するとかなり高速にクラック可能です。
  5. ソーシャルエンジニアリング(2人の同僚が電話を受け、 CLSID-Scam 、ドアグライド、駐車場のUSBスティックなどの犠牲者となりました...)
  6. インターネットセキュリティ(NoScript、Flash/JSの無効化、フィッシングとは...)
  7. バックアップ
  8. メールの暗号化
  9. 保護対策(OSを最新の状態に保ち、ウイルス対策ソフトウェアを使用し、デフォルトとして管理者アカウントを使用しないでください...)

どのトピックがどの順序で必須であるかわかりません。トレーニングには1時間または2時間かかる場合があります。また、チートシートを作成して、書面の情報や読み物などを削除できるようにします。

68
hamena314

私は実際に1年以上前にこれに似たプレゼンテーションを行い、その構成方法を決定するのにかなりの時間を費やしました。私の対象読者には、開発者やITに精通している他の人々が含まれていましたが、マネージャーやその他の非プログラマーも含まれていたため、技術的に複雑にならないように、かなり一般的になるようにしました。他の誰かが指摘したように、私は1つの重要なことは退屈だと思わないことです。これは、これが心に留めておくべきことであり、実際の作業の邪魔になる退屈なタスクの別のリストではないことを人々が理解できるようにする啓発的な講演にしたいものです。

このために、あまりにも多くの技術的な詳細に直接ジャンプするのではなく、セキュリティカルチャーの概念を中心にプレゼンテーション全体を集中させようとしました。それを念頭に置いて、私はあなたの質問であなたが言及する多くのテーマにまだ触れていました。

講演で触れた内容のいくつか

(または、もし私が別の同様の講演をするなら今日に触れます):

  • 機密性、整合性、可用性(CIA):情報セキュリティの中心的なテーマ、およびこれらが企業にとっても個人にとっても重要である理由についてのいくつかの明白な言葉(人々に役立つ役立つガイダンスを提供できる場合)彼らは職場を越えても安全を維持しますが、それはプラスにすぎませんよね?また、特に子供や家族の安全にも触れた場合、あなたにも注意を向ける人もいるかもしれません)。
  • 「セキュリティ文化」(「特定の人々のグループに共通する一連のアイデア、習慣、社会的規範」などの「文化」の概念についてのいくつかの言葉、またはそのようなもの、および セキュリティ意識はこれの意識的な部分でなければならないという考え )。
  • セキュリティに関する考え方の目標:不要なインシデントのリスクを軽減し、とにかく発生した場合に備えて対処する準備をします。
  • コストを念頭に置いて(または投資収益率必要に応じて);最初に最も簡単で、最も意味のある方法を考えます。ここでは、良い習慣について少し説明します。次のようなものシステムを更新し、適切なパスワードを使用し、疑わしいリンクをクリックしないようにし、物理的なセキュリティ(テールゲートャー!)に注意してください]など。実際のイベントの例をいくつか含めてください。違反などに関するニュース記事?
  • 特定の会社に関連する可能性のある脆弱性や脅威の種類などに関する質問をいくつか投げ出します。例:私たちのビジネスの「宝石」とは何ですか?私たちにとって何が最も重要で、何が彼らを脅かす可能性がありますか?今日、私たちはどれほど安全ですか、どのくらい安全になりたいですか、そしてどのようにして将来そこに到達できるでしょうか?セキュリティスタンスを改善したい分野はありますか?ここでのポイントは、行うべきことのチェックリストを人々に提供することではなく、一般にセキュリティの領域全体について考えさせ、部品の責任を負わせることですそれの、彼ら自身。
  • 一般的なセキュリティガイドラインのいくつかの例を挙げ、それらのいずれか(または同様のもの)を職場で検討する必要があるかどうか聴衆に尋ねます。

ああ、もう1つ:適切ないくつかの 実世界の例 のセキュリティ問題を含めると、視聴者を楽しませ続けるのに役立ちます(しかし無理しないでください)。

これがまさにあなたが求めていたものかどうかはわかりませんが、それが何らかの役に立つことを願っています。プレゼンテーションで頑張ってください。

42
Kjartan

既存の回答のいずれもこれについて言及しておらず、完全な回答でなくてもコメントが長すぎる。

あなたがすることの1つ絶対に聴衆への影響を回避する必要があるのは虚無主義です(つまり、私が何をしてもハッキングされます)。人々を怖がらせるのは非常に簡単で、@@ $ less(そして状況によっては魅力的に面白い)です。しかし、セキュリティカルチャーの販売の大きな部分は、あなたが言うように、意味のあるセキュリティの向上はa)過度に苦痛ではなく、b)可能の両方であると聴衆を納得させることになります。

私が特にミレニアル世代の間で遭遇する態度は、セキュリティが不可能であるか、できれば実行不能になるほど難しいということがよくあります。地獄、私知っているより良く、それでも時々私自身はそのように感じます。

同じ運命を避けるために、実際の各例(ストーリーまたはライブデモ)にいくつかのeasyステップ(できれば「ステップ」単数形)を提示することをお勧めします。

16
Jared Smith

それは彼らにとってとても非現実的です
それを維持する唯一の方法
実際の例でそれらを示すことによってです。

質問する:フィッシングとは誰が知っていますか?
質問する:では、どのような情報が漏えいして問題になるのでしょうか?
彼らは言う:顧客Cに関する会計情報を含むドキュメントThisIsImportant.docが漏洩するとします。
質問する:ThisIsImportant.docにアクセスできるのは誰ですか?
彼らは言う:パトリック

次に、それらに伝えます:SO、一緒にまとめてパトリックのボスを装ってフィッシングメールをパトリックに送信します!

目の前でターミナル(緑のフォント、重要!)を開きます。
LIVE "Hacking"!彼らはそれを愛しています!

1)sshをメールサーバーに
2)touch mail.txt
3)vim mail.txt

To: [email protected]
Subject: Patrick, I need customer C info.
From: Patricks Boss<[email protected]>

Dear Patick,
I'm a little bit in a hassle, as customer C just called.
Please send me ThisIsImportant.doc so I can prepare a response.

Best regards,
Your BOSS!

4):x!
5)sendmail -vt < mail.txt

次に、パトリックに彼のメールを開くように頼むと、誰もがパトリックスボスのメールフォームを目にしますあなたが彼らの目の前に書いた

彼らのために学んだレッスン:
名前、ブランド、制服などを盲目的にフォローすべきではありません。そして常識を使用します。

その後、あなたは彼らに他のすべてのものを伝えることができます。

しかし、1年後、彼らはまだ上司になりすまして、partickをどのように「ハッキング」したかを物語っています。

5
MPS

一方ではワークショップを開催したい、他方ではセキュリティの知識が限られている人々とのかなりハードなトピックに飛び込みます。私はあなたの努力を称賛しますが、もし私がそうだとしたら、私は意識を高めるを考え、PowerPointによる死/別の目盛りとして出くわすものを提示するだけでなく、人々にセキュリティについて考えさせますボックス強制トレーニングコンプライアンス演習。

あなたが挙げたすべてのことについて話すべきではないと私は示唆していませんが、これらだけで1日を過ごすと、聴衆を飽きさせることになります。 OTOHあなたが彼らの心と心を勝ち取ることができるなら、彼らは彼らの日常の仕事のセキュリティについてthinkをします。

個人として攻撃される可能性のある方法を調査することは、これに対処する1つの方法です。もう1つは、任意のターゲットに対する攻撃を計画させることです。

3
symcbean

LastPassやKeePassなどのパスワードマネージャーを表示します。

私が知っているほとんどの人は、ユーザーIDとパスワードのTONを持っています。同じパスワードを使用したり、付箋にメモしたり、暗号化されていないテキストドキュメントに保存したりするなど、ユーザーが覚えやすいようにします。

代わりに、パスワードマネージャーの使用方法を説明します。 IT関係ではない友人にLastPassの使い方を教えました。現在、彼らは非常に強力なパスフレーズを使用してパスワードマネージャーにアクセスし、すべてのログインを管理しています。彼らはそれを愛しています!

2
Adam Dewing

一般的に言えば、ユーザーから抽象化できるセキュリティ対策が多ければ多いほど良いです!

例えば:

  • ファイルストレージは、利用可能な場合、中央サーバーで実行する必要があります。これを正しく設定するための十分な能力を持つリソースがあると想定すると、訓練を受けた人々が会社全体のバックアップを維持する方が、各従業員にプライベートバックアップの方法を教える(そして、覚えてもらうことよりも簡単です!)

  • ご使用の環境でサポートされている場合は、該当する場合はWindowsドメイン/ Active Directory管理ポリシーを使用してください(たとえば、パスワードのみのロック解除による画面タイムアウトを導入したり、パスワードの長さ/文字の内容を強制したり、定期的にパスワードを変更したりします)。

あなたの提案へのコメント:

1。シンプルに保つ-コンピュータのセキュリティ=会社の資産を保護します。情報は力であり、情報はもっと直接的な意味でのお金である可能性もあります(企業秘密など)。具体的な議論は、会社がどのような仕事をしていて、何をどのように保存しているかによって異なりますが、本質は、コンピュータシステムへの不正アクセスが破壊または盗難(またはその両方)によって会社に大きな損害を与える可能性があることです。 )。

2。間違いなくこれを行いますが、前述のように、テクニカルツールを使用してできるだけ多くのルールを適用し、エンドユーザーの責任を軽減します。

3。もちろんです!これはあまり一般的な攻撃ベクトルではありませんが、最も簡単な「修正」の1つです。したがって、すぐに実装する必要があります。ワークステーションの近くまたは出口にリマインダーを置きます。

4。従業員が直接関係できる特定の例を見つけられない限り、これを避けてください(同じハードウェア/ソフトウェアまたは類似のものを使用しているため)。このルートを使用する場合、 [〜#〜] kiss [〜#〜] -専門用語で迷子にならないでください。一般的な概念と非技術的な用語をできるだけ使用します。問題の説明に費やす時間を減らし、ユーザーの正しい動作を説明する時間を増やします。

5。これは、最も危険な攻撃ベクトルの1つであると同時に、従業員にどのように防御するかを教えるのが最も難しい攻撃ベクトルの1つです。最後に保存してください-この特定のトピックを掘り下げる前に、従業員が「セキュリティ志向の文化」を受け入れるようにしてください。安全な手順と、承認と正しいプロトコルを保証することの重要性について彼らがすでに知っていて考えるほど、サードパーティがこれらの障壁を乗り越えようとする方法を理解しやすくなります。

6。間違いなく-可能な場合は、グループポリシーを使用して、Flash、Active-Xをブロックしたり、NoScriptなどを強制したりします。繰り返しますが、ユーザーが何かをしたり管理したりせずに追加できるこれらの緩和策の数が多いほど、より優れています。

9。繰り返しになりますが、これを一元化できれば、なお良いでしょう。あなたの質問から判断すると、これはあなたの会社には当てはまらないかもしれないように聞こえますか?

順序については、問題が発生する可能性があるのと同じ順序をお勧めします。つまり、

user login (passwords, lockscreen) 
  --> program startup (viruses, backups) 
    --> program use (phishing, social engineering, "bad" downloads/attachments).
2
Vegard

私は kjartanの答え が適切だと思いますが、セキュリティ意識向上トレーニングのより一般的な用語では、いくつかの主要なコンポーネントしかありません

  1. 何を保護していますか?情報、データ、知識-ビジネスのあらゆる側面の推進力。
  2. なぜ保護する必要があるのですか? CIA +否認防止。説明することが重要だと思いますwhyユーザーが資格情報を共有しないことが重要です。
  3. ユーザーがどのようにしてそれを保護できるか。リンクをクリックしないこと、情報を提供すること、フラッシュドライブを取得してプラグインすることに関する基本的なルール-基本的なもの。
  4. 発生したインシデントの例とそれに関連する金銭的コストand評判的損害。

それ以上のことをする必要がある場合は、ポリシーと手順とは何か、またそれらに従う必要がある理由を説明することは素晴らしいアイデアです。 ITやビジネス以外の人を対象とする場合は、簡単に説明してください。そして、それを従業員の上位Tierのビジネス条件に入れ、どのように合意されたものが適切なレベルのセキュリティと見なされているかandビジネスオペレーション(たとえば、これらが単に障害であるだけでなく、なぜ存在するのか彼らは単に彼らの仕事をするために克服する必要があります)。それが、通常のユーザーが苦労している鍵だと思います-"ちょうど私に許可domy job!"

1
Raystafarian