Moderne Sicherheitsbewusstseinskampagnen

Ich suche nach verschiedenen Möglichkeiten, um das Sicherheitsbewusstsein für "normale" Benutzer zu verbessern. Da sie normalerweise nicht viel Aufmerksamkeitsspanne und kein einziges Interesse an dem Thema haben, funktionieren ihre üblichen formalen Bewusstseinsmittel einfach nicht.

Ich denke über neue Mittel für das Sicherheitsbewusstsein nach und wollte hören, was Sie zu diesem Thema denken, wenn Sie Sensibilisierungskampagnen durchgeführt haben oder wissen, die wirklich funktionieren.

Ich spreche von Initiativen wie Symantecs gruseligem Internet oder achtsamer Sicherheit .

Welche Sicherheitsbewusstseinskampagnen oder -initiativen für IT-Mitarbeiter haben für Sie besser funktioniert?

Wir haben einmal Folgendes in unser Intranet aufgenommen, um die Leute freundlich daran zu erinnern, dass sie ihre Passwörter regelmäßig ändern sollten. Ich bin mir ziemlich sicher, dass es funktioniert hat, da die Anzahl der Helpdesk-Anrufe vom Typ "Ich habe mein Passwort vergessen" in den folgenden 2 Wochen über dem Durchschnitt lag!

Es ist schwer, eine zusammenzustellen, die funktioniert. Es ist hilfreich, ansprechende Inhalte und einige Belohnungen zu haben (z. B. ein einfaches Quiz durchführen und etwas Interessantes verschenken). Es ist hilfreich, einflussreiche Führungskräfte in Ihrer Organisation zu haben, die die Teilnahme an der Sensibilisierungskampagne aktiv fördern.

Microsoft kann ein Toolkit herunterladen, das einige Ideen enthält. Sophos hat kürzlich Material veröffentlicht, das auch gute Ideen hat. Ebenso wie Symantec (wie Sie bereits erwähnt haben) und die meisten führenden IT-Organisationen, da sie auf diese Weise in ein gewisses Marketing geraten können.

Ich habe festgestellt, dass die erfolgreichsten Themen für das Bewusstsein diejenigen sind, die unmittelbare und klare Vorteile haben. Das regelmäßige Ändern von Passwörtern hat für die meisten Benutzer keinen offensichtlichen Vorteil. Gleiches gilt für das Vermeiden des Klickens auf Online-Anzeigen. Wenn diese jedoch so formuliert werden können, dass sie Ihr Publikum ansprechen, ist es wahrscheinlicher, dass Sie Erfolg haben. Wenn Sie beispielsweise Eltern haben, reagieren diese sensibel auf Hinweise zur Computersicherheit, die ihre Kinder schützen können (oh und bringen ihnen im Übrigen auch gute Arbeitspraktiken bei).

In Bezug auf IT-Mitarbeiter scheint das Sicherheitsbewusstsein weniger Auswirkungen zu haben. Nach meiner Erfahrung sind klare Verfahren und Richtlinien, eine gute Managementführung und eine Sicherheitskultur erfolgreicher.

Mit Training kann man nur so viel anfangen, besonders wenn es keine (wahrgenommenen) Konsequenzen gibt, wenn man die Regeln nicht befolgt.

Wir im Sicherheitsbereich müssen uns damit abfinden, dass Menschen bessere Dinge mit ihrer Zeit zu tun haben, als unseren albernen Regeln zu folgen, die sie größtenteils nicht verstehen und deren Konsequenzen für den Benutzer so verzögert sind (Stunden, Wochen) , Monate), die die Mehrheit nie lernen wird. Es ist reine Psychologie und wir müssen ernsthaft einen Hinweis darauf nehmen, was uns die letzten 60 Jahre Marketing / Spin / Manipulation über das menschliche Gehirn gelehrt haben.

Ihre beste Option ist es, Ihren Weg zum Erfolg zu manipulieren. Was auch immer Sie versuchen, Ihre Benutzer dazu zu bringen, machen Sie Ihren sicheren Weg zum einfachsten / schnellsten / billigsten Weg. Benutzer überspringen Sicherheitshinweise, da sie dadurch 2 Sekunden sparen können. Belohnen Sie also gutes Verhalten, wie immer Sie können.

Beispiel: Vor vielen Jahren war ich in einer Organisation, in der Benutzer auf vielen Systemen dieselben Kennwörter auswählten und diese Systeme von überall aus Telnet-Zugriff akzeptierten. Dies wurde von Angreifern mehr als einmal ausgenutzt.

Durch das Beenden von Telnet und das Aufrufen von SSH mit Schlüsselauthentifizierung wurde das Sicherheitsproblem behoben und die Notwendigkeit beseitigt, dass Benutzer bei jeder Remoteverbindung Benutzernamen und Kennwörter eingeben müssen. Da sie nicht für jede neue Verbindung ihr Passwort eingeben mussten, war es in Ordnung, dass sie jeden Morgen ihren SSH-Schlüssel mit einer Passphrase entsperren mussten.

Einige behaupten, dass Sicherheitsbewusstseinskampagnen selten einen nachhaltig positiven Effekt haben, aber ich denke, der Schlüssel liegt darin, die Botschaft den Nutzern ins Gesicht zu sehen, aber auf positive Weise.

Wir haben verschiedene humorvolle Nachrichten verwendet, die als zufällige Bilder in dem standardisierten Bildschirmschoner angezeigt werden, den unsere Organisation verwendet. Günstig und erreicht die gesamte Organisation. Darüber hinaus kann das Posten von Informationsposts im Intranet zu aktuellen Themen hilfreich sein, beispielsweise zur sicheren Verwendung sozialer Netzwerke. Weitere technische Probleme wie Kennwortqualität / -lebensdauer sollten durch technische Einschränkungen erzwungen werden und nicht jedem Benutzer überlassen bleiben.

Als ich in einer früheren Firma mit etwa 60 Mitarbeitern anfing, waren die Post-its nicht einmal versteckt. Sie klebten an den Monitoren, weil es den zusätzlichen Schritt ersparte, die Tastatur oder das Telefon zum Lesen anheben zu müssen. Versuche eines umfassenden Bildungsprozesses waren reine Zeitverschwendung. Einmal wurde mir klar, dass ich eins zu eins mit den schlimmsten Tätern gesprochen hatte. Wo immer möglich, identifizierte ich diejenigen, die gerne plauderten und klatschten, konzentrierte meine Aufmerksamkeit auf sie und ließ sie (unbeabsichtigt) mir helfen, das Wort durch ihr Klatschen zu verbreiten.

Es hat wahrscheinlich ungefähr 3 Monate gedauert, aber die Ergebnisse waren sehr gut. Sobald die leitenden Angestellten den Hinweis verstanden hatten, oft durch Erinnerungen ihrer eigenen Mitarbeiter, wurden die Dinge viel offizieller und meine Arbeit (in dieser Hinsicht) war erledigt.