Kampanye kesadaran keamanan modern

Saya mencari berbagai cara untuk melakukan kesadaran keamanan untuk pengguna 'normal'. Karena mereka biasanya tidak memiliki banyak rentang perhatian dan tidak sedikit pun minat pada subjek, mereka biasanya sarana kesadaran formal tidak berfungsi.

Saya sedang memikirkan cara baru untuk kesadaran keamanan dan ingin mendengar apa yang Anda pikirkan tentang masalah ini, jika Anda telah melakukan atau mengetahui tentang kampanye kesadaran yang benar-benar berhasil.

Saya sedang berbicara tentang inisiatif seperti hal - hal internet yang menakutkan Symantec atau keamanan penuh perhatian .

Juga, terkait dengan staf TI, kampanye atau inisiatif kesadaran keamanan apa yang telah bekerja lebih baik untuk Anda?

Kami pernah memasukkan yang berikut ini di intranet kami, sebagai pengingat ramah kepada orang-orang bahwa mereka harus mengubah kata sandi mereka secara teratur. Saya cukup yakin itu berhasil, karena volume panggilan helpdesk ketik "Saya lupa kata sandi saya" dalam 2 minggu berikutnya lebih tinggi daripada rata-rata!

Sulit untuk menyatukan yang berfungsi. Ini membantu untuk memiliki konten yang menarik, dan beberapa hadiah (misalnya menjalankan kuis sederhana dan memberikan sesuatu yang menarik). Ini membantu untuk memiliki pemimpin yang berpengaruh di organisasi Anda secara aktif mempromosikan partisipasi dalam kampanye kesadaran.

Microsoft memiliki toolkit yang dapat Anda unduh yang memiliki beberapa ide di dalamnya. Sophos merilis beberapa materi baru-baru ini yang juga memiliki ide bagus. Seperti yang dilakukan Symantec (seperti yang Anda sebutkan) dan sebagian besar TI terkemuka, karena ini adalah cara mereka dapat tergelincir dalam beberapa pemasaran.

Saya telah menemukan topik yang paling sukses untuk kesadaran adalah yang memiliki manfaat langsung dan jelas. Mengubah kata sandi secara teratur tidak memiliki manfaat yang jelas bagi sebagian besar pengguna. Sama dengan menghindari mengklik iklan online. Tetapi jika ini dapat diucapkan dengan cara yang menarik bagi audiens Anda maka Anda lebih mungkin untuk berhasil. Misalnya jika Anda memiliki orang tua, mereka akan peka terhadap saran keamanan komputer yang dapat melindungi anak-anak mereka (oh dan juga mengajarkan mereka praktik kerja yang baik juga).

Mengenai staf TI, kesadaran keamanan tampaknya memiliki dampak yang lebih kecil. Prosedur dan kebijakan yang jelas, panduan manajemen yang baik, dan budaya keamanan lebih berhasil, menurut pengalaman saya.

Hanya ada begitu banyak yang dapat Anda lakukan dengan pelatihan, terutama ketika tidak ada konsekuensi (yang dirasakan) karena tidak mengikuti aturan.

Kami di bidang keamanan harus menerima kenyataan bahwa orang-orang memiliki hal-hal yang lebih baik untuk dilakukan dengan waktu mereka daripada mengikuti aturan konyol kami, yang sebagian besar tidak mereka pahami dan konsekuensi apa pun bagi pengguna sangat tertunda (jam, minggu) , bulan) bahwa mayoritas tidak akan pernah belajar. Ini adalah psikologi murni dan kita perlu mengambil petunjuk dari apa yang telah diajarkan oleh pemasaran / putaran / manipulasi 60 tahun terakhir tentang otak manusia.

Pilihan terbaik Anda adalah memanipulasi jalan Anda menuju kesuksesan. Apa pun yang Anda coba lakukan agar pengguna Anda melakukannya, jadikan cara aman Anda sebagai yang termudah / tercepat / termurah. Pengguna mengabaikan saran keamanan karena dapat menghemat waktu 2 detik, jadi berikan penghargaan pada perilaku yang baik dengan cara apa pun yang Anda bisa.

Contoh: Bertahun-tahun yang lalu, saya berada di sebuah organisasi yang menderita karena pengguna memilih kata sandi yang sama di banyak sistem dan sistem ini menerima akses telnet dari mana saja. Ini dieksploitasi oleh penyerang lebih dari satu kali.

Membunuh telnet dan melakukan ssh dengan otentikasi kunci memecahkan masalah keamanan dan menghilangkan kebutuhan pengguna untuk mengetikkan nama pengguna dan kata sandi pada setiap koneksi jarak jauh. Harus tidak mengetik kata sandi untuk setiap koneksi baru membuatnya OK bahwa mereka harus membuka kunci ssh mereka dengan frasa sandi setiap pagi.

Beberapa mengklaim bahwa kampanye kesadaran keamanan jarang memiliki efek positif yang bertahan lama, tetapi saya pikir kuncinya adalah untuk mendapatkan pesan di wajah pengguna, tetapi dengan cara yang positif.

Kami telah menggunakan berbagai pesan lucu yang ditampilkan sebagai gambar acak di screen saver standar yang digunakan organisasi kami. Murah, dan menjangkau seluruh organisasi. Selain itu, memposting posting informasi di intranet tentang topik yang tepat waktu juga dapat bermanfaat, misalnya bagaimana menggunakan jaringan sosial dengan aman. Lebih banyak masalah teknis, seperti kualitas kata sandi / masa pakai harus ditegakkan oleh batasan teknis, tidak dibiarkan sebagai pilihan bagi setiap pengguna.

Ketika saya mulai bekerja di perusahaan sebelumnya dengan sekitar 60 staf, Post-nya bahkan tidak disembunyikan. Mereka tertahan di monitor, karena itu menyelamatkan langkah tambahan karena harus mengangkat keyboard atau telepon untuk membacanya. Upaya pada proses pendidikan grosir adalah buang-buang waktu. Suatu kali saya menyadari bahwa saya memiliki satu lawan satu pembicaraan dengan pelaku terburuk. Jika memungkinkan saya mengidentifikasi mereka yang suka mengobrol dan bergosip dan memusatkan perhatian saya pada mereka dan membiarkan mereka (tanpa sengaja) membantu saya menyebarkan berita melalui gosip mereka.

Mungkin butuh sekitar 3 bulan atau lebih tetapi hasilnya sangat bagus. Begitu para manajer senior memberikan petunjuk, seringkali melalui pengingat dari staf mereka sendiri, segalanya menjadi jauh lebih resmi dan pekerjaan saya (dalam hal itu) dilakukan.