Tager din organisation seriøs sikkerhed? Kender dine brugere, hvordan man kan afværge socialtekniske angreb? Har din organisations bærbare enheder aktiveret datakryptering? Hvis du svarede "nej" eller "jeg ikke kender" til nogen af disse spørgsmål, giver din organisation ikke god sikkerhedsbevidsthedstræning.
Wikipedia definerer sikkerhedsbevidsthed som den viden og holdning, som medlemmer af en organisation besidder med hensyn til beskyttelsen af både fysiske og informationsaktiver i organisationen.
I en nøddeskal: Løse læber synker skibe. Det er virkelig kernen i, hvad sikkerhedsbevidsthed handler om, Charlie Brown.
Hvis du er ansvarlig for dine organisationers informationsaktiver, skal du helt sikkert udvikle og gennemføre et sikkerhedsbevidsthedsuddannelsesprogram. Målet skal være at gøre dine medarbejdere bevidste om, at der er dårlige mennesker ude i verden, der ønsker at stjæle information og skade organisatoriske ressourcer.
Et godt sikkerhedsbevidsthedsuddannelsesprogram vil skabe en følelse af stolthed i ejerskabet af organisationens data og ressourcer. Medarbejdere vil se trusler mod deres organisation som trusler mod deres levebrød. Et dårligt sikkerhedsbevidsthedsuddannelsesprogram vil gøre folk paranoide og voldsomme.
Lad os se på nogle tips til at skabe et effektivt sikkerhedsbevidsthedsuddannelsesprogram:
Uddanne brugere på de typer af virkelige trusler, de måtte møde
Sikkerhedsbevidsthedstræning bør omfatte uddanne brugere om sikkerhedskoncepter som genkende sociale anfald, malwareangreb, phishing-taktik og andre typer trusler, som de sandsynligvis vil støde på. Se vores side om bekæmpelse af cyberkriminalitet for en liste over cyberkriminelle trusler og teknikker.
Lær den fortabte kunst af Password Construction
Mens mange af os ved, hvordan man opretter et stærkt kodeord, er der stadig mange mennesker derudover, der ikke er klar over, hvor nemt det er at knække en svag adgangskode. Forklar processen med password cracking og hvordan offline cracking værktøjer som dem, der bruger Rainbow Tables arbejde. De kan muligvis ikke forstå alle de tekniske specifikationer, men de vil i det mindste se, hvor nemt det er at knække en dårligt konstrueret adgangskode, og dette kan inspirere dem til at være lidt mere kreative, når det er på tide for dem at lave en ny adgangskode.
Fokus på informationsbeskyttelse
Mange virksomheder fortæller deres medarbejdere at undgå at diskutere virksomhedernes forretninger, mens de er ude til frokost, fordi du aldrig ved, hvem der lytter, men de fortæller dem ikke altid at se, hvad de siger på sociale medier. En simpel Facebook status opdatering om hvor sur du er, at det produkt, du arbejder på, ikke bliver frigivet til tiden, kan være nyttigt for en konkurrent, der måske ser dit statusindlæg, hvis dine personlige oplysninger skal være for permissive. Lær dine medarbejdere, der mister tweets, og statusopdateringer synker også skibe.
Rivaliserende virksomheder kan trolle sociale medier på udkig efter medarbejdere i deres konkurrence for at få overblik over produktintelligens, hvem arbejder på hvad osv.
Sociale medier er stadig en relativt ny grænse i erhvervslivet, og mange sikkerhedschefer har svært ved at klare det. Dage med at blokere det ved firmanavnet er over. Social Media er nu en integreret del af mange virksomheders forretningsmodeller. Uddanne brugere om, hvad de burde og bør ikke sende på Facebook, Twitter, LinkedIn og andre sociale medier.
Sikkerhedskopier dine regler med potentielle konsekvenser
Sikkerhedspolitikker uden tænder er ikke noget værd for din organisation. Få management buy-in og skabe klare konsekvenser for bruger handlinger eller manglende handling. Brugere skal vide, at de har pligt til at beskytte oplysninger, der er i deres besiddelse og gøre deres bedste for at holde det sikkert mod skade.
Gør dem opmærksom på, at der er både civile og kriminelle konsekvenser for at afdække følsomme og / eller proprietære oplysninger, manipulere med virksomhedernes ressourcer mv.
Genopfyld ikke hjulet
Du behøver ikke starte fra bunden. Statens institut for standarder og teknologi (NIST) har bogstaveligt skrevet bogen om, hvordan man udvikler et sikkerhedsbevidsthedsuddannelsesprogram, og bedst af alt er det gratis. Download NISTs Special Offentliggørelse 800-50 - Opbygge et Information Technology Security Awareness and Training Program for at lære at lave din egen.
