Назад | Перейти на главную страницу

Современные кампании по повышению осведомленности о безопасности

Я ищу разные способы повышения осведомленности о безопасности для «обычных» пользователей. Поскольку у них обычно не так много внимания и нет ни капли интереса к предмету, их обычные формальные средства осознания просто не работают.

Я думаю о новых средствах повышения осведомленности о безопасности и хотел бы услышать, что вы думаете по этому поводу, если вы проводили или знаете о действительно эффективных информационных кампаниях.

Я говорю о таких инициативах, как Symantec страшные интернет-вещи или внимательная безопасность.

Кроме того, что касается ИТ-персонала, какие кампании или инициативы по повышению осведомленности о безопасности сработали для вас лучше?

Однажды мы поместили следующее в нашу интранет в качестве дружеского напоминания людям о том, что они должны регулярно менять свои пароли. Я почти уверен, что это сработало, потому что количество звонков в службу поддержки типа «Я забыл свой пароль» в следующие 2 недели было выше среднего!

Трудно собрать то, что работает. Помогает иметь интересный контент и некоторые награды (например, провести простую викторину и раздать что-нибудь интересное). Это помогает иметь влиятельных лидеров в вашей организации, активно способствующих участию в информационной кампании.

У Microsoft есть набор инструментов вы можете скачать в котором есть некоторые идеи. Sophos выпустил некоторый материал в последнее время тоже есть хорошие идеи. Как и Symantec (как вы упомянули) и большинство ведущих ИТ-организаций, так как они могут ускользнуть от маркетинга.

Я обнаружил, что наиболее успешными для повышения осведомленности являются те, которые приносят немедленную и очевидную пользу. Регулярная смена паролей не приносит очевидных преимуществ для большинства пользователей. То же самое и с отказом от нажатия на онлайн-рекламу. Но если их можно сформулировать так, чтобы они нравились вашей аудитории, у вас больше шансов на успех. Например, если у вас есть родители, они будут внимательны к советам по компьютерной безопасности, которые могут защитить своих детей (ну и, кстати, научите их хорошим методам работы).

Что касается ИТ-персонала, осведомленность о безопасности, похоже, оказывает меньшее влияние. По моему опыту, четкие процедуры и политика, хорошее руководство и культура безопасности более успешны.

С тренировкой вы можете сделать очень многое, особенно когда нет (предполагаемых) последствий за несоблюдение правил.

Мы, работающие в сфере безопасности, должны смириться с тем фактом, что люди лучше распоряжаются своим временем, чем следуют нашим глупым правилам, большинство из которых они не понимают, и любые последствия для пользователя откладываются (часы, недели , месяцев), что большинство никогда не узнает. Это чистая психология, и мы серьезно должны понять, чему нас научили последние 60 лет маркетинга, манипуляций и манипуляций о человеческом мозге.

Лучший вариант - манипулировать своим путем к успеху. Что бы вы ни пытались заставить пользователей делать, сделайте свой безопасный способ самым простым / быстрым / дешевым способом. Пользователи пропускают советы по безопасности, потому что они могут сэкономить им 2 секунды, поэтому поощряйте хорошее поведение любым возможным способом.

Пример. Много лет назад я работал в организации, которая страдала от того, что пользователи выбирали одни и те же пароли во многих системах, и эти системы принимали доступ через Telnet из любого места. Это неоднократно использовалось злоумышленниками.

Отказ от telnet и переход к ssh с аутентификацией по ключу решил проблему безопасности и избавил пользователей от необходимости вводить имя пользователя и пароль при каждом удаленном подключении. Из-за того, что они не вводили свой пароль при каждом новом подключении, им было нормально каждое утро разблокировать свой ssh-ключ с помощью ключевой фразы.

Некоторые утверждают, что кампании по повышению осведомленности о безопасности редко имеют длительный положительный эффект, но я думаю, что главное - донести сообщение до пользователей, но в положительном ключе.

Мы использовали различные юмористические сообщения, представленные в виде случайных изображений в стандартной заставке, которую использует наша организация. Дешево и распространяется на всю организацию. Кроме того, размещение информационных сообщений в интранете по актуальным темам также может быть полезным, например, о том, как безопасно использовать социальные сети. Более технические вопросы, такие как качество / срок действия пароля, должны быть ограничены техническими ограничениями, а не должны оставаться на усмотрение каждого пользователя.

Когда я начал работать в предыдущей компании, где работало около 60 человек, наклейки даже не прятали. Они были прикреплены к мониторам, потому что это избавило от лишнего шага, связанного с необходимостью поднимать клавиатуру или телефон, чтобы прочитать это. Попытки организовать массовый образовательный процесс были пустой тратой времени. Однажды я понял, что разговаривал один на один с худшими обидчиками. По возможности я определял тех, кто любил болтать и сплетничать, фокусировал на них свое внимание и позволял им (непреднамеренно) помогать мне распространять информацию через их сплетни.

Вероятно, это заняло около 3 месяцев, но результаты были очень хорошими. Как только старшие менеджеры улавливают намек, часто через напоминания своих сотрудников, все становится более официальным, и моя работа (в этом отношении) завершается.