Современные информационные кампании по безопасности

Я ищу разные способы обеспечения безопасности для «обычных» пользователей. Поскольку у них обычно не так много внимания и нет ни малейшего интереса к предмету, они, как правило, формальные средства осознания просто не работают.

Я думаю о новых средствах для обеспечения безопасности и хотел бы услышать, что вы думаете по этому вопросу, если вы провели или знаете об информационных кампаниях, которые действительно сработали.

Я говорю об инициативах, таких как страшные интернет-вещи Symantec или внимательная безопасность .

Кроме того, что касается ИТ-персонала, какие кампании или инициативы по повышению безопасности лучше сработали для вас?

Однажды мы добавили следующее в нашу интранет, в качестве дружеского напоминания людям, что они должны регулярно менять свои пароли. Я уверен, что это сработало, потому что объем звонков в службу поддержки типа «Я забыл свой пароль» в следующие 2 недели был выше среднего!

Трудно собрать тот, который работает. Это помогает иметь интересный контент и некоторые награды (например, провести простую викторину и выдать что-то интересное). Это помогает иметь влиятельных лидеров в вашей организации, активно способствующих участию в информационной кампании.

У Microsoft есть инструментарий, который вы можете скачать, в котором есть некоторые идеи. Sophos недавно выпустил материал, в котором также есть хорошие идеи. Как и Symantec (как вы упомянули) и большинство ведущих ИТ-организаций, так как это способ, которым они могут проскользнуть в некотором маркетинге.

Я обнаружил, что наиболее успешными темами для осведомленности являются те, которые имеют непосредственные и очевидные преимущества. Смена паролей регулярно не имеет очевидной пользы для большинства пользователей. То же самое, избегая кликов по интернет-рекламе Но если они могут быть сформулированы таким образом, чтобы привлечь вашу аудиторию, то у вас больше шансов на успех. Например, если у вас есть родители, они будут чувствительны к советам по компьютерной безопасности, которые могут защитить их детей (и, кстати, также научат их хорошим методам работы).

Что касается ИТ-персонала, осведомленность о безопасности, похоже, оказывает меньшее влияние. По моему опыту, более четкие процедуры и политика, хорошее руководство и культура безопасности более успешны.

Вы можете делать с обучением только так много, особенно если нет (предполагаемых) последствий несоблюдения правил.

Мы в области безопасности должны смириться с тем, что у людей есть дела поважнее с их временем, чем следовать нашим глупым правилам, большинство из которых они не понимают, и любые последствия для пользователя так затягиваются (часы, недели , месяцы), что большинство никогда не узнает. Это чистая психология, и нам нужно серьезно понять, чему научили нас последние 60 лет маркетинга / спина / манипуляции о человеческом мозге.

Ваш лучший вариант - манипулировать вашим путем к успеху. Что бы вы ни пытались заставить своих пользователей сделать, сделайте ваш безопасный путь самым простым / быстрым / самым дешевым способом. Пользователи пропускают советы по безопасности, потому что это может сэкономить им 2 секунды, поэтому поощряйте их за хорошее поведение.

Пример: Много лет назад я был в организации, которая страдала от того, что пользователи выбирали одинаковые пароли во многих системах, и эти системы принимали telnet-доступ из любой точки мира. Это использовалось злоумышленниками не раз.

Уничтожение telnet и переход к ssh с аутентификацией по ключу решили проблему безопасности и избавили пользователей от необходимости вводить имя пользователя и пароли при каждом удаленном соединении. Отсутствие необходимости вводить свой пароль для каждого нового соединения приводило к тому, что им приходилось каждое утро открывать ключ ssh парольной фразой.

Некоторые утверждают, что кампании по повышению осведомленности о безопасности редко имеют длительный положительный эффект, но я думаю, что ключ заключается в том, чтобы донести информацию до пользователей, но в позитивном ключе.

Мы использовали различные юмористические сообщения, отображаемые в виде рандомизированных изображений в стандартной заставке, которую использует наша организация. Дешево и доходит до всей организации. Кроме того, размещение информационных постов в интрасети на актуальные темы также может быть полезным, например, как безопасно пользоваться социальными сетями. Дополнительные технические проблемы, такие как качество и срок действия пароля, должны быть обусловлены техническими ограничениями, а не оставляться на усмотрение каждого пользователя.

Когда я начал работать в предыдущей компании, в которой было около 60 сотрудников, «Пост» даже не был скрыт. Они застряли на мониторах, потому что это избавило от необходимости поднимать клавиатуру или телефон, чтобы прочитать их. Попытки массового обучения были пустой тратой времени. Однажды я понял, что разговариваю один на один с худшими преступниками. Там, где это было возможно, я выявлял тех, кто любил поболтать и сплетничать, и сосредоточил на них свое внимание и позволил им (непреднамеренно) помочь мне распространить информацию через их сплетни.

Вероятно, прошло около 3 месяцев или около того, но результаты были очень хорошими. После того, как старшие менеджеры намекнули, часто с помощью напоминаний от своих сотрудников, дела стали намного более официальными, и моя работа (в этом отношении) была завершена.