Campanhas modernas de conscientização de segurança

Estou procurando maneiras diferentes de conscientizar a segurança de usuários 'normais'. Como eles geralmente não têm muita atenção e nem um único interesse no assunto, os meios formais comuns de conscientização simplesmente não funcionam.

Estou pensando em novos meios de conscientização sobre segurança e queria ouvir o que você pensa sobre o assunto, se você conduziu ou conhece campanhas de conscientização que realmente funcionaram.

Estou falando de iniciativas como o material assustador da Internet ou a segurança consciente da Symantec .

Além disso, em relação à equipe de TI, quais campanhas ou iniciativas de conscientização de segurança funcionaram melhor para você?

Uma vez, colocamos o seguinte em nossa intranet, como um lembrete amigável para as pessoas de que elas devem alterar suas senhas regularmente. Tenho certeza de que funcionou, porque o volume de chamadas do suporte técnico do tipo "esqueci minha senha" nas duas semanas seguintes foi superior à média!

É difícil montar um que funcione. Ajuda a ter um conteúdo envolvente e algumas recompensas (por exemplo, faça um teste simples e dê algo interessante). Ajuda a ter líderes influentes em sua organização promovendo ativamente a participação na campanha de conscientização.

A Microsoft possui um kit de ferramentas que você pode baixar e que possui algumas idéias. A Sophos lançou recentemente algum material que também tem boas idéias. Assim como a Symantec (como você mencionou) e a maioria das principais organizações de TI, uma vez que essa é uma maneira de se inserir em algum marketing.

Descobri que os tópicos de maior sucesso para conscientização são aqueles que trazem benefícios imediatos e claros. Alterar senhas regularmente não tem benefícios óbvios para a maioria dos usuários. O mesmo acontece com a prevenção de cliques em anúncios online. Mas se essas palavras puderem ser formuladas de maneira que agrade ao seu público, é mais provável que você tenha sucesso. Por exemplo, se você tem pais, eles serão sensíveis aos conselhos de segurança do computador que podem proteger seus filhos (ah, e também ensinar-lhes boas práticas de trabalho).

Em relação à equipe de TI, a conscientização de segurança parece ter menos impacto. Procedimentos e políticas claros, boas orientações de gerenciamento e uma cultura de segurança são mais bem-sucedidos, na minha experiência.

Há muito que você pode fazer com o treinamento, especialmente quando não há consequências (percebidas) por não seguir as regras.

Nós, no campo da segurança, precisamos aceitar o fato de que as pessoas têm coisas melhores a fazer com o seu tempo do que seguir nossas regras tolas, a maioria das quais elas não entendem e qualquer consequência para o usuário é tão atrasada (horas, semanas , meses) que a maioria nunca aprenderá. É pura psicologia e precisamos seriamente entender o que os últimos 60 anos de marketing / rotação / manipulação nos ensinaram sobre o cérebro humano.

Sua melhor opção é manipular seu caminho para o sucesso. O que quer que você esteja tentando fazer com que seus usuários façam, faça da sua maneira segura a maneira mais fácil / rápida / barata. Os usuários ignoram os conselhos de segurança, pois podem economizar 2 segundos; portanto, recompense o bom comportamento da maneira que puder.

Exemplo: Muitos anos atrás, eu estava em uma organização que sofria com usuários escolhendo as mesmas senhas em muitos sistemas e esses sistemas aceitavam o acesso telnet de qualquer lugar. Isso foi explorado pelos atacantes em mais de uma ocasião.

Matar o telnet e acessar o ssh com autenticação de chave resolveu o problema de segurança e removeu a necessidade de os usuários digitarem nome de usuário e senhas em todas as conexões remotas. O fato de não digitar sua senha para cada nova conexão tornava aceitável que eles tivessem que desbloquear sua chave ssh com uma senha todas as manhãs.

Alguns afirmam que as campanhas de conscientização sobre segurança raramente têm um efeito positivo duradouro, mas acho que a chave é transmitir a mensagem aos usuários, mas de maneira positiva.

Usamos várias mensagens engraçadas exibidas como imagens aleatórias no protetor de tela padronizado que nossa organização usa. Barato e atinge toda a organização. Além disso, a publicação de postagens informativas na intranet sobre tópicos oportunos também pode ser útil, por exemplo, como usar com segurança as redes sociais. Problemas mais técnicos, como a qualidade / vida útil da senha, devem ser impostos por restrições técnicas, e não deixados como uma opção para cada usuário.

Quando comecei a trabalhar em uma empresa anterior, com cerca de 60 funcionários, os Post-its nem estavam escondidos. Eles estavam presos aos monitores, porque economizavam a etapa extra de ter que levantar o teclado ou o telefone para lê-lo. Tentativas de um processo de educação por atacado eram uma completa perda de tempo. Uma vez eu percebi que tinha conversas individuais com os piores criminosos. Sempre que possível, identifiquei aqueles que gostavam de conversar e fofocar e concentrei minha atenção neles e deixei que eles (sem querer) me ajudassem a espalhar a palavra através de suas fofocas.

Provavelmente demorou cerca de 3 meses, mas os resultados foram muito bons. Depois que os gerentes seniores seguem a dica, geralmente através de lembretes de sua própria equipe, as coisas se tornam muito mais oficiais e meu trabalho (nesse sentido) está concluído.