web-dev-qa-db-ja.com

セキュリティ意識を高めるためのアイデア

「セキュリティの最も弱い要素は人間である」と主張されています。残念ながら、これは私たちが切り離すことができない弱いリンクなので、それに対処する必要があります。

組織に本質的にセキュリティ意識を構築するのに役立つアイデアが必要です。私自身、いくつかのアイデアがありました。

  • すべてのクライアントに必須のスクリーンセーバーがあり、「PCをロックすることを忘れないでください」、「常に表示されるバッジを着用する」、「有効なキーカードを要求しない限り、誰もあなたをロックされたドアに連れて行かないでください」などのステートメントを表示します。
  • SANS Ouch! ニュースレターを全員に送信します。
  • 毎年セキュリティ意識の高い人をクイズ
  • OWASP Top 1 を関連する担当者に提示します。開発者。

セキュリティ意識を構築するためのあなたのアイデアは何ですか?

user-educationawareness
5
Chris Dale

これまでの提案を気に入っていただければ、今後の参考にさせていただきます。

私の第一の提案はあなた自身の従業員を攻撃することでしょう。 ax all "Here's Johnny!"スタイルで走り回って、適切なセキュリティ慣行について人々に叫ぶべきではなく、サイバー攻撃を仕掛けて彼らの対応を判断し、説明する彼らが正しい/間違ったことをした。人々は、電子メールを読んで学ぶよりもはるかに優れた経験を通じて学びます。

試す最も簡単で効果的な方法の1つは、会社のロゴが入ったログイン画面を含む外部Webサイトです。新しいスタッフポータルを入手したことをシステム管理者であると主張して、外部アカウントから従業員に電子メールを送信します。ユーザーがログインするたびに、その目的を説明し、将来どのようにそれを認識できるかを説明するページに直接アクセスしてもらいます。ユーザーが知りたい場合に備えて、電話番号とメールアドレスを含めます。ユーザーが安全かどうかを尋ねたり、セキュリティの問題として報告したりするたびに、彼らが正しいことを行ったことを伝え、ラインマネージャーが成功したことを確認します。

次に試すのは、より直接的なものです。データベースに問題があり、全員のパスワードを再入力する必要があることを伝える電子メールを(再度、外部メールボックスから)送信します。 「安全なパスワード更新メールボックス」にパスワードを送信するよう依頼し、待ちます。誰かがパスワードを送信するたびに、フィッシング攻撃に陥ったことを説明します。この攻撃の欠点は、多くの人のパスワードをリセットする必要があることです!

アドバイスは一言だけです。プロジェクトを開始する前に、承認を得てください。 ;)

3
Polynomial

私が現在働いている会社では、彼らは多くの手段を通じてユーザー教育に投資しています。賞品(iPadなど)を含むオンラインゲーム、6か月ごとに取得する必要のある教育資料、セキュリティに関する定期的な電子メール(通信社からの違反事例を含む)があります。

これらはすべて、従業員の教育水準をかなり維持する傾向があります。最も重要な鍵は、IT部門の友好関係です。エンドユーザーが「セキュリティ違反はあなたの仕事を意味する!」と言われることはなく、「何かが発生した場合は、状況を迅速に処理できるようにお知らせください」

この考え方により、エンドユーザーはセキュリティ侵害を恐れずに報告できます。これは恐ろしいトピックではないので、セキュリティについて同僚と話し合い、セキュリティ侵害の可能性があると思われるものをITに知らせたいと思っています。これらのほとんどすべては実際の違反ではありませんが、壊滅的であった可能性がある1つまたは2つを見つけるためにそれらを掘り下げる価値があります。

1
SamuelWarren

ほとんどのIT部門、ひいては多くのセキュリティチームは、セキュリティの認識とトレーニングに関して、ブランディングとマーケティングに大きな問題を抱えています。

あなたが何を言うかと同じくらい重要ですあなたが言うこと。

また、他のレスポンダーがほのめかしたように、認識はトレーニングと同じではなく、常に密接に関係していることを忘れないでください。

最初に、ターゲットオーディエンスとのつながり方、そのターゲットオーディエンスは誰であるか、どのようなタイプの情報を受け入れるかどうかを念頭に置いた戦略から始めることが重要だと思います。

そこから、セキュリティの認識とトレーニングを作成または実施するときに、いくつかのコアバリューまたは心の前に立つ柱を持つことが重要だと思います。 alwaysがメッセージと一致する必要があるため、これが重要である理由。インターネットで見つけたランダムなアイデアを逸脱したり広めたりすると、誤った情報につながり、混乱を招き、メッセージが視聴者にとって実際に重要なものとの一貫性を維持できなくなります。

私にとってそれらの柱は:

  1. Vigilance-これは、エンドユーザーがインターネットやメールなどを使用しているときは常に心の中で少し懐疑的であることを思い出させる一貫した再発するテーマを使用することで強調されます。

  2. レポートの速度-これはおそらく最も私の意見では重要な柱です。送信するすべての内容と作成するコンテンツの一部において、エンドユーザーがIT /セキュリティなどに、不審なメール、訪問した可能性のあるWebサイト、オフィスでの行動について警告することが非常に重要であることを常に強調します。見た目や音、またはそのように見えるものは、悪質または疑わしいものである可能性があるため、すぐに報告してください。

  3. クリック時の注意-これは、業界全体で耳にする常識の柱です。クリックする前などに考えてください。粘着性や決まり文句はありますが、しっかりしたアドバイスです。エンドユーザーに数秒かけて、そのメールやリンク、添付ファイル、または状況が何であれ、周囲のコンテキストを分析することを奨励し、強化してください。これのもう1つの良い用語は、状況認識です。電子メールのパスワードをリセットするために電子メールのリンクをコンテキストから外した場合、問題がないように見えるかもしれません。あなたがそれがから送られたことに気付くまで。

コンテンツを作成するとき、エンドユーザーとセキュリティについて話すとき、評価またはテストを実行するときは常に、メッセージがこれらの3つのことを最初にどのように伝えるかについて常に考えます。

最後に、ブランドのように、またはメディア企業の観点から、セキュリティ意識について考えることが重要だと思います。ニュースレターやメールの爆発は退屈になります。上で述べたように、あなたが言っていることと同じくらいあなたがコミュニケーションであることを考えることが重要です。

0
techspence