Moderne campagne di sensibilizzazione sulla sicurezza

Sto cercando diversi modi per sensibilizzare alla sicurezza degli utenti "normali". Dato che di solito non hanno molta attenzione e nemmeno un po 'di interesse sull'argomento, i soliti mezzi formali di consapevolezza semplicemente non funzionano.

Sto pensando a nuovi mezzi per la consapevolezza della sicurezza e volevo sentire cosa ne pensate sull'argomento, se avete condotto o conoscete campagne di sensibilizzazione che hanno davvero funzionato.

Sto parlando di iniziative come la roba spaventosa di Internet di Symantec o la sicurezza consapevole .

Inoltre, per quanto riguarda il personale IT, quali campagne o iniziative di sensibilizzazione sulla sicurezza hanno funzionato meglio per te?

Una volta abbiamo inserito quanto segue sulla nostra intranet, come promemoria amichevole per le persone che dovrebbero cambiare regolarmente le loro password. Sono abbastanza sicuro che abbia funzionato, perché il volume delle chiamate dell'helpdesk di tipo "Ho dimenticato la mia password" nelle successive 2 settimane era superiore alla media!

È difficile metterne insieme uno che funzioni. Aiuta ad avere contenuti accattivanti e ad alcuni premi (ad es. Eseguire un semplice quiz e regalare qualcosa di interessante). Aiuta ad avere leader influenti nella tua organizzazione che promuovono attivamente la partecipazione alla campagna di sensibilizzazione.

Microsoft ha un toolkit che puoi scaricare che contiene alcune idee. Sophos ha recentemente pubblicato del materiale che ha anche buone idee. Così come Symantec (come hai già detto) e la maggior parte delle principali organizzazioni IT, poiché è un modo in cui possono scivolare nel marketing.

Ho scoperto che gli argomenti di maggior successo per la consapevolezza sono quelli che hanno benefici immediati e chiari. Cambiare le password regolarmente non ha evidenti vantaggi per la maggior parte degli utenti. Lo stesso per evitare di fare clic sugli annunci online. Ma se questi possono essere formulati in modi che attirano il tuo pubblico, allora hai maggiori probabilità di avere successo. Ad esempio, se hai dei genitori, saranno sensibili ai consigli di sicurezza del computer che possono proteggere i loro figli (oh e insegnare loro anche le buone pratiche di lavoro).

Per quanto riguarda il personale IT, la consapevolezza della sicurezza sembra avere un impatto minore. Nella mia esperienza, procedure e politiche chiare, una buona guida gestionale e una cultura della sicurezza hanno più successo.

C'è solo così tanto che puoi fare con l'allenamento, specialmente quando non ci sono conseguenze (percepite) per non seguire le regole.

Nel campo della sicurezza dobbiamo fare i conti con il fatto che le persone hanno cose migliori da fare con il loro tempo che seguire le nostre regole sciocche, la maggior parte delle quali non capiscono e qualsiasi conseguenza per l'utente è così ritardata (ore, settimane , mesi) che la maggioranza non imparerà mai. È pura psicologia e dobbiamo seriamente trarre un'idea di ciò che gli ultimi 60 anni di marketing / spin / manipolazione ci hanno insegnato sul cervello umano.

La tua migliore opzione è quella di manipolare la tua strada verso il successo. Qualunque cosa tu stia cercando di convincere i tuoi utenti a fare, rendi il tuo modo sicuro il modo più semplice / veloce / economico. Gli utenti saltano i consigli di sicurezza perché possono farli risparmiare 2 secondi, quindi premia il buon comportamento in ogni modo possibile.

Esempio: molti anni fa, ero in un'organizzazione che soffriva di utenti che selezionavano le stesse password su molti sistemi e questi sistemi accettavano l'accesso a Telnet da qualsiasi luogo. Questo è stato sfruttato dagli attaccanti in più di un'occasione.

Uccidere telnet e passare a ssh con l'autenticazione con chiave ha risolto il problema di sicurezza e rimosso la necessità per gli utenti di digitare nome utente e password su ogni connessione remota. Non dover digitare la password per ogni nuova connessione ha reso OK che ogni mattina dovevano sbloccare la chiave ssh con una passphrase.

Alcuni sostengono che le campagne di sensibilizzazione sulla sicurezza raramente hanno un effetto positivo duraturo, ma penso che la chiave sia ottenere il messaggio in faccia agli utenti, ma in modo positivo.

Abbiamo utilizzato vari messaggi umoristici mostrati come immagini casuali nello screen saver standardizzato utilizzato dalla nostra organizzazione. Economico e raggiunge l'intera organizzazione. Inoltre, pubblicare post informativi sull'intranet su argomenti tempestivi può essere utile, ad esempio come utilizzare in sicurezza i social network. Ulteriori problemi tecnici, come la qualità / durata della password, dovrebbero essere imposti da restrizioni tecniche, non lasciate come scelta a ciascun utente.

Quando ho iniziato a lavorare in un'azienda precedente con circa 60 dipendenti, i Post non erano nemmeno nascosti. Erano bloccati sui monitor, perché ha risparmiato quel passaggio in più di dover sollevare la tastiera o il telefono per leggerlo. I tentativi di un processo di istruzione all'ingrosso sono stati una completa perdita di tempo. Una volta mi sono reso conto che avevo avuto uno a uno con i peggiori criminali. Ove possibile, ho identificato coloro che amavano chattare e spettegolare e focalizzare la mia attenzione su di loro e lasciarli (involontariamente) aiutarmi a spargere la voce attraverso i loro pettegolezzi.

Probabilmente ci sono voluti circa 3 mesi o giù di lì, ma i risultati sono stati molto buoni. Una volta che i senior manager hanno dato il suggerimento, spesso tramite promemoria del proprio personale, le cose sono diventate molto più ufficiali e il mio lavoro (a tale riguardo) è stato svolto.