組織の従業員に対してのみ、責任ある発見プログラムを内部でどのように実装すべきですか？

最善の方法は認識です。セキュリティの問題が特定または修正されたら、マネージャーにメールアワードテンプレートとCCを送信します。彼らにとっての価値は、給与レビューや経営者との議論でこの項目を参照できることです。

セキュリティの問題と見なされるものと、ノイズをフィルタリングしてフィルタリングしてはならないものの概要を説明します。

報酬システムを使用して、これに別のレベルを追加します。毎月または四半期ごとに、セキュリティの問題を報告した人に通知を提供します。報告者の問題数、問題レポートの重大度、またはランダムに基づいてください。四半期と月の受賞者と報酬として受け取ったものについて、会社全体または部門全体でコミュニケーションが確実に行われるようにします。

理想的には、社内でセキュリティチャンピオンを構築し、問題を報告するだけでなく、周囲の関係者にも影響を与えるように働きかけます。

私の経験では、いくつかの理由により、ユーザーはセキュリティの問題を報告しません。

1. 彼らは自分の仕事を気にしないか信じていません
2. 彼らはセキュリティの脆弱性の影響の可能性を理解していないので、彼らはそれを残します
3. 彼らはそれが特定の状況で彼らの過失を暴露するかもしれないことを恐れています

上記の理由に対処するために、次の2つのことを試してください。

• セキュリティ意識向上トレーニング
• 匿名またはその他の報奨金プログラム

社内ネットワーク全体に電子メールでクレジットカード情報を送信していた企業の事件について取り上げました。ハッキングされた後、私は従業員にインタビューして、機密データを電子メールで共有するこのプロセスを開始したときの詳細情報を入手しました。従業員が日付を教えてくれたところ、75％の人が私に尋ねることなく、それは常に悪い考えだと思いました。それで質問は残った、なぜあなたは何も言わなかったのですか？

これは主に、上記の2と3が原因です。セキュリティの目標は組織の全体的な姿勢を改善することであることを明確にする必要があります。ユーザーには問題がないことを強調しますが、悪いセキュリティ文化は全体として変化する必要があります。これは最終的に経営者の責任と問題です。

ここで必要なのは、セキュリティの問題を検出してそれに対応する文化を開発することです。

簡単にボールを取得する1つの方法は、組織のコンピューターのデスクトップの壁紙を管理して、1〜2日ごとに新しいセキュリティトピックを表示することです。ユーザーがログインしてログインが完了するのを待つと、壁紙が表示され、平均的なユーザーが把握するのが難しいセキュリティ問題について、うまくデザインされたインフォグラフィックが表示されます。

ワークショップや表彰制度など、この文化を発展させる新しい方法をいつでも始めることができます...