Серьезно ли относится ваша организация к безопасности? Знают ли ваши пользователи, как бороться с атаками социальной инженерии? У портативных устройств вашей организации включен шифрование данных? Если вы ответили «нет» или «я не знаю» ни на один из этих вопросов, ваша организация не обеспечивает хорошую подготовку по вопросам безопасности.
Википедия определяет осведомленность о безопасности как знание и отношение, которые имеют члены организации к защите как физических, так и информационных активов организации.
В двух словах: рыхлые губы опускают корабли. Это действительно суть того, что такое осознание безопасности, Чарли Браун.
Если вы несете ответственность за информационные активы вашей организации, то вам обязательно следует разработать и внедрить программу повышения осведомленности о безопасности. Цель должна состоять в том, чтобы заставить ваших сотрудников осознать тот факт, что в мире есть плохие люди, которые хотят украсть информацию и повредить организационные ресурсы.
Хорошая программа повышения осведомленности о безопасности полетов будет внушать чувство гордости за владение данными и ресурсами вашей организации. Сотрудники будут видеть угрозы своей организации как угрозы их жизни. Плохая программа повышения осведомленности о безопасности сделает людей параноидальными и возмущенными.
Давайте рассмотрим некоторые советы по созданию эффективной программы повышения осведомленности о безопасности:
Просвещать пользователей о типах угроз реального мира Они могут встречаться
Обучение в области безопасности должно включать обучение пользователей концепциям безопасности, таким как признание атак социальной инженерии, атак на вредоносное ПО, фишинговую тактику и другие типы угроз, с которыми они могут столкнуться. Ознакомьтесь с нашей страницей «Борьба с киберпреступностью» за список угроз и технологий, угрожающих киберпреступникам.
Учить потерянное искусство парольной конструкции
Хотя многие из нас знают, как создать надежный пароль, есть еще много людей, которые не понимают, насколько легко взломать слабый пароль. Объясните процесс взлома паролей и как работают автономные средства взлома, такие как те, которые используют таблицы Rainbow. Они могут не понимать всех технических особенностей, но они, по крайней мере, будут видеть, как легко взломать плохо сконструированный пароль, и это может вдохновить их быть немного более креативными, когда пришло время для их создания нового пароля.
Фокус на защите информации
Многие компании говорят своим сотрудникам избегать обсуждения бизнеса компании, когда они выходят на обед, потому что вы никогда не знаете, кто может слушать, но они не всегда говорят им смотреть, что они говорят на сайтах социальных сетей. Простое обновление статуса Facebook о том, насколько вы безумны, что продукт, над которым вы работаете, не будет выпущен вовремя, может быть полезным для конкурента, который может видеть ваш статус, если ваши настройки конфиденциальности будут слишком разрешительными. Научите своих сотрудников потерять твиты и обновления статуса, а также потопить корабли.
Соревнующиеся компании могут троллить социальные медиа, которые ищут сотрудников своих конкурентов, чтобы взять верх над разведкой продукта, кто работает над тем, что и т. Д.
Социальные медиа по-прежнему являются относительно новой границей в деловом мире, и многие менеджеры по вопросам безопасности с трудом справляются с этим. Дни просто блокировки на брандмауэре компании закончились. Социальные медиа стали неотъемлемой частью бизнес-моделей многих компаний. Обучайте пользователей тем, что они должны и не должны размещать в Facebook, Twitter, LinkedIn и других сайтах социальных сетей.
Резервное копирование ваших правил с потенциальными последствиями
Политики безопасности без зубов не стоят ничего для вашей организации. Получите управление бай-ином и создайте четкие последствия для действий пользователя или бездействия. Пользователи должны знать, что они обязаны защищать информацию, находящуюся в их распоряжении, и прилагать все усилия, чтобы защитить ее от вреда.
Представьте им, что существуют как гражданские, так и уголовные последствия для разглашения конфиденциальной и / или запатентованной информации, подделывания ресурсов компании и т. Д.
Не переустанавливайте колесо
Вам не нужно начинать с нуля. Национальный институт стандартов и технологий (NIST) буквально написал книгу о том, как разработать программу повышения осведомленности о безопасности, и, самое главное, она бесплатна. Загрузите специальную публикацию NIST 800-50 - Создайте информационную и обучающую программу по информационной безопасности, чтобы узнать, как сделать свой собственный.
