Ваша организация серьезно относится к безопасности? Знают ли ваши пользователи, как отразить атаки социальной инженерии ? На портативных устройствах вашей организации включено шифрование данных ? Если вы ответили «нет» или «я не знаю» на какой-либо из этих вопросов, то ваша организация не обеспечивает хорошую подготовку по вопросам безопасности.
Википедия определяет осведомленность о безопасности как знание и отношение членов организации к защите как физических, так и информационных активов организации.
В двух словах: свободные губы тонут корабли. Это действительно суть понимания безопасности.
Если вы несете ответственность за информационные активы своей организации, то вам обязательно следует разработать и внедрить программу обучения осведомленности о безопасности. Цель должна состоять в том, чтобы ваши сотрудники осознавали тот факт, что в мире есть плохие люди, которые хотят украсть информацию и нанести ущерб организационным ресурсам.
Хорошая учебная программа по повышению безопасности будет прививать чувство гордости за владение данными и ресурсами вашей организации. Сотрудники будут рассматривать угрозы для своей организации как угрозы для их средств к существованию. Плохая программа обучения осведомленности о безопасности сделает людей параноидальными и обиженными.
Давайте рассмотрим несколько советов по созданию эффективной учебной программы по безопасности.
Обучите пользователей типам реальных угроз, с которыми они могут столкнуться
Обучение осведомленности о безопасности должно включать в себя обучение пользователей таким концепциям безопасности, как распознавание атак социальной инженерии, атак вредоносных программ, фишинг-атак и других типов угроз, с которыми они могут столкнуться.
Учим утерянному искусству создания паролей
Хотя многие из нас знают, как создать надежный пароль , все еще есть много людей, которые не понимают, как легко взломать слабый пароль. Важно объяснить процесс взлома пароля и как работают офлайновые инструменты взлома, такие как те, которые используют Rainbow Tables . Возможно, они не понимают всех технических особенностей, но, по крайней мере, увидят, как легко взломать плохо сконструированный пароль, и это может побудить их быть немного более креативными, когда пришло время создать новый пароль.
Фокус на защите информации
Многие компании советуют своим сотрудникам избегать обсуждения бизнеса компании во время их обеда, потому что вы никогда не знаете, кто может слушать, но они не всегда советуют им смотреть, что они говорят на сайтах социальных сетей. Простое обновление статуса Facebook о том, насколько вы злы, что продукт, над которым вы работаете, не будет выпущен вовремя, может быть полезным для конкурента, который может увидеть ваш статусный пост, если ваши настройки конфиденциальности будут слишком строгими. Научите своих сотрудников, что они теряют твиты и обновления статуса, а также топят корабли.
Конкурирующие компании могут троллить в социальных сетях, разыскивая сотрудников своих конкурентов, чтобы взять верх над интеллектом продукта и выяснить, кто над чем работает.
Социальные сети все еще остаются относительно новым рубежом в деловом мире, и многим менеджерам по безопасности трудно с этим справиться. Дни просто заблокировать его на брандмауэре компании прошли. Социальные сети в настоящее время являются неотъемлемой частью бизнес-моделей многих компаний. Обучите пользователей тому, что они должны и не должны публиковать в Facebook , как быть в безопасности в Twitter , LinkedIn и других социальных сетях.
Резервное копирование ваших правил с потенциальными последствиями
Политики безопасности без зубов ничего не стоят для вашей организации. Получите бай-ин управления и создайте четкие последствия для действий или бездействия пользователя. Пользователи должны знать, что они обязаны защищать информацию, которая находится в их распоряжении, и делать все возможное, чтобы защитить ее от вреда.
Информируйте их о том, что для разглашения конфиденциальной и / или конфиденциальной информации, подделки ресурсов компании и т. Д. Существуют как гражданские, так и уголовные последствия.
Не изобретай колесо
Вам не нужно начинать с нуля. Национальный институт стандартов и технологии (NIST) буквально написали книгу о том , как разработать программу подготовки по вопросам безопасности, и лучше всего, это бесплатно. Загрузите специальную публикацию NIST 800-50 — Создание программы по повышению осведомленности и обучению информационной безопасности, чтобы узнать, как создать свою собственную.