La tua organizzazione prende sul serio la sicurezza? I tuoi utenti sanno come respingere gli attacchi di social engineering? I dispositivi portatili della tua organizzazione hanno la crittografia dei dati abilitata? Se hai risposto "no" o "non so" a nessuna di queste domande, allora la tua organizzazione non sta fornendo una buona formazione sulla consapevolezza della sicurezza.
Wikipedia definisce la consapevolezza della sicurezza come la conoscenza e l'attitudine che i membri di un'organizzazione possiedono per quanto riguarda la protezione dei beni fisici e informativi dell'organizzazione.
In poche parole: le labbra sciolte affondano le navi. Questo è davvero il succo di ciò che è la consapevolezza della sicurezza, Charlie Brown.
Se sei responsabile per il patrimonio informativo della tua organizzazione, devi assolutamente sviluppare e attuare un programma di formazione sulla consapevolezza della sicurezza. L'obiettivo dovrebbe essere quello di rendere i dipendenti consapevoli del fatto che nel mondo ci sono persone cattive che vogliono rubare informazioni e danneggiare risorse organizzative.
Un buon programma di formazione sulla consapevolezza della sicurezza infonde un senso di orgoglio nella proprietà dei dati e delle risorse della tua organizzazione. I dipendenti vedranno minacce alla loro organizzazione come minacce ai loro mezzi di sostentamento. Un cattivo programma di addestramento per la consapevolezza della sicurezza renderà le persone paranoiche e risentite.
Diamo un'occhiata ad alcuni suggerimenti per la creazione di un efficace programma di formazione sulla consapevolezza della sicurezza:
Educare gli utenti sui tipi di minacce del mondo reale che potrebbero incontrare
La formazione per la sensibilizzazione alla sicurezza dovrebbe includere l'educazione degli utenti su concetti di sicurezza come il riconoscimento di attacchi di social engineering, attacchi di malware, tattiche di phishing e altri tipi di minacce che potrebbero incontrare. Consulta la nostra pagina sulla lotta contro il crimine informatico per un elenco di minacce e tecniche informatiche criminali.
Insegna l'arte perduta della costruzione di password
Mentre molti di noi sanno come creare una password sicura, ci sono ancora molte persone là fuori che non si rendono conto di quanto sia facile craccare una password debole. Spiegare il processo del cracking delle password e il modo in cui funzionano gli strumenti di cracking offline come quelli che utilizzano Rainbow Table. Potrebbero non capire tutti i dettagli tecnici, ma almeno vedranno quanto sia facile rompere una password mal costruita e questo potrebbe ispirarli a essere un po 'più creativi quando è il momento per loro di fare una nuova password.
Concentrarsi sulla protezione delle informazioni
Molte aziende dicono ai propri dipendenti di evitare di discutere del business dell'azienda mentre sono fuori a pranzo perché non si sa mai chi potrebbe ascoltare, ma non sempre dicono loro di guardare ciò che dicono sui siti dei social media. Un semplice aggiornamento dello stato di Facebook su quanto folle sia che il prodotto su cui stai lavorando non sarà pubblicato in tempo potrebbe essere utile a un concorrente che potrebbe vedere il tuo stato post, nel caso le tue impostazioni sulla privacy fossero troppo permissive. Insegna ai tuoi dipendenti che i tweet perduti e gli aggiornamenti di stato affondano le navi.
Le aziende rivali possono troll social media in cerca di dipendenti della loro concorrenza per ottenere il vantaggio su prodotti di intelligence, chi sta lavorando su cosa, ecc.
I social media sono ancora una frontiera relativamente nuova nel mondo degli affari e molti responsabili della sicurezza stanno avendo difficoltà a gestirli. I giorni in cui è stato bloccato il firewall aziendale sono finiti. I social media sono ormai parte integrante dei modelli di business di molte aziende. Istruire gli utenti su ciò che dovrebbero e non dovrebbero pubblicare su Facebook, Twitter, LinkedIn e altri siti di social media.
Eseguire il backup delle regole con conseguenze potenziali
Le politiche di sicurezza senza denti non valgono nulla per la tua organizzazione. Prendi il management buy-in e crea chiare conseguenze per le azioni dell'utente o l'inazione. Gli utenti devono sapere che hanno il dovere di proteggere le informazioni che sono in loro possesso e fanno del loro meglio per tenerlo al sicuro da eventuali danni.
Rendili consapevoli che ci sono conseguenze sia civili che criminali per la divulgazione di informazioni sensibili e / o proprietarie, manomissioni delle risorse aziendali, ecc.
Non reinventare la ruota
Non devi ricominciare da capo. L'Istituto nazionale degli standard e della tecnologia (NIST) ha letteralmente scritto il libro su come sviluppare un programma di addestramento per la sensibilizzazione alla sicurezza e, soprattutto, è gratuito. Scarica la pubblicazione speciale NIST 800-50 - Costruire un programma di sensibilizzazione e formazione sulla sicurezza delle tecnologie informatiche per imparare come crearne di propri.
