Τα χαλαρά χείλη βυθίζουν πλοία και εταιρείες
Ο οργανισμός σας λαμβάνει σοβαρά την ασφάλεια; Οι χρήστες σας γνωρίζουν πώς να αποτρέψουν τις επιθέσεις της κοινωνικής μηχανικής; Οι φορητές συσκευές της εταιρείας σας έχουν ενεργοποιημένη την κρυπτογράφηση δεδομένων; Αν απαντήσατε "όχι" ή "δεν ξέρω" σε καμία από αυτές τις ερωτήσεις, τότε ο οργανισμός σας δεν παρέχει καλή εκπαίδευση για την ενημέρωση σχετικά με την ασφάλεια.
Η Wikipedia ορίζει την ευαισθητοποίηση ως την γνώση και τη στάση που διαθέτουν τα μέλη ενός οργανισμού όσον αφορά την προστασία τόσο των φυσικών όσο και των πληροφοριακών περιουσιακών στοιχείων του οργανισμού.
Με λίγα λόγια: τα χαλαρά χείλη βυθίζονται τα πλοία. Αυτό είναι πραγματικά το βασικό στοιχείο της συνειδητοποίησης της ασφάλειας, Charlie Brown.
Αν είστε υπεύθυνοι για τα πληροφοριακά στοιχεία του οργανισμού σας τότε θα πρέπει να αναπτύξετε και να εφαρμόσετε σίγουρα ένα πρόγραμμα εκπαίδευσης για την ευαισθητοποίηση σχετικά με την ασφάλεια. Ο στόχος πρέπει να είναι να καταστήσετε τους υπαλλήλους σας συνειδητοί στο γεγονός ότι υπάρχουν κακοί άνθρωποι στον κόσμο που θέλουν να κλέψουν πληροφορίες και να βλάψουν τους οργανωτικούς πόρους.
Ένα καλό πρόγραμμα εκπαίδευσης για την ευαισθητοποίηση της ασφάλειας θα ενσταλάξει την αίσθηση υπερηφάνειας στην ιδιοκτησία των δεδομένων και των πόρων του οργανισμού σας. Οι εργαζόμενοι θα αντιμετωπίσουν απειλές για την οργάνωσή τους ως απειλές για τη ζωή τους. Ένα κακό πρόγραμμα εκπαίδευσης για την ευαισθητοποίηση της ασφάλειας θα κάνει τους ανθρώπους να είναι παρανοϊκοί και ανυπόμονοι.
Ας δούμε μερικές συμβουλές για τη δημιουργία ενός αποτελεσματικού προγράμματος εκπαίδευσης για την ευαισθητοποίηση σχετικά με την ασφάλεια:
Εκπαιδεύστε τους χρήστες σχετικά με τους τύπους πραγματικών απειλών που ενδέχεται να συναντήσουν
Η κατάρτιση για την ευαισθητοποίηση σχετικά με την ασφάλεια θα πρέπει να περιλαμβάνει την εκπαίδευση των χρηστών σε έννοιες ασφάλειας όπως η αναγνώριση επιθέσεων κοινωνικής μηχανικής, επιθέσεων κακόβουλου λογισμικού, τακτικών ηλεκτρονικού "ψαρέματος" (phishing tactics) και άλλων τύπων απειλών που είναι πιθανό να συναντήσουν. Ελέγξτε τη σελίδα καταπολέμησης της εγκληματικότητας στον κυβερνοχώρο για μια λίστα με τις απειλές και τις τεχνικές του ηλεκτρονικού εγκλήματος.
Διδάξτε τη χαμένη τέχνη της κατασκευής του κωδικού πρόσβασης
Ενώ πολλοί από εμάς ξέρουν πώς να δημιουργήσουν έναν ισχυρό κωδικό πρόσβασης , υπάρχουν ακόμα πολλοί άνθρωποι εκεί έξω που δεν συνειδητοποιούν πόσο εύκολο είναι να σπάσει έναν αδύναμο κωδικό πρόσβασης. Εξηγήστε τη διαδικασία της ράγισσης κωδικού πρόσβασης και πώς λειτουργούν εργαλεία πυρόλυσης εκτός σύνδεσης, όπως αυτά που χρησιμοποιούν Rainbow Tables . Μπορεί να μην κατανοούν όλες τις τεχνικές προδιαγραφές, αλλά θα δουν τουλάχιστον πόσο εύκολο είναι να σπάσουν έναν κακώς κατασκευασμένο κωδικό πρόσβασης και αυτό μπορεί να τους εμπνεύσει να είναι λίγο πιο δημιουργικοί όταν είναι ώρα να κάνουν έναν νέο κωδικό πρόσβασης.
Εστίαση στην προστασία πληροφοριών
Πολλές εταιρείες λένε στους υπαλλήλους τους να αποφεύγουν να συζητούν την επιχείρηση της επιχείρησής τους όταν βγαίνουν στο μεσημεριανό γεύμα επειδή δεν γνωρίζετε ποιος μπορεί να ακούει, αλλά δεν τους λένε πάντοτε να παρακολουθούν τι λένε σε ιστότοπους κοινωνικής δικτύωσης. Μια απλή ενημέρωση σχετικά με την κατάσταση στο Facebook σχετικά με το πόσο τρελός είστε ότι το προϊόν στο οποίο εργάζεστε δεν θα κυκλοφορήσει εγκαίρως θα μπορούσε να είναι χρήσιμο σε έναν ανταγωνιστή που θα μπορούσε να δει την κατάστασή σας, εάν οι ρυθμίσεις απορρήτου σας είναι υπερβολικές. Διδάξτε τους υπαλλήλους σας ότι χαλαρά tweets και ενημερώσεις κατάστασης επίσης βυθίζει πλοία.
Οι αντίπαλες εταιρείες ενδέχεται να μετακομίσουν τα κοινωνικά μέσα που αναζητούν υπαλλήλους του ανταγωνισμού τους για να κερδίσουν το προβάδισμα στην πληροφόρηση προϊόντων, ποιος εργάζεται σε ό, τι κλπ.
Τα κοινωνικά μέσα ενημέρωσης εξακολουθούν να είναι σχετικά νέα σύνορα στον επιχειρηματικό κόσμο και πολλοί διαχειριστές ασφάλειας αντιμετωπίζουν δύσκολο το χειρισμό τους. Οι ημέρες που απλά την εμποδίζουν στο firewall της εταιρείας έχουν τελειώσει. Τα Social Media αποτελούν πλέον αναπόσπαστο μέρος των επιχειρηματικών μοντέλων πολλών εταιρειών. Εκπαιδεύστε τους χρήστες σε ό, τι πρέπει και δεν πρέπει να δημοσιεύουν στο Facebook , στο Twitter , στο LinkedIn και σε άλλους ιστότοπους κοινωνικών μέσων.
Δημιουργήστε αντίγραφα ασφαλείας των κανόνων σας με πιθανές συνέπειες
Ασφαλείς πολιτικές χωρίς δόντια δεν αξίζουν τίποτα για τον οργανισμό σας. Λάβετε buy-in διαχείρισης και δημιουργείτε σαφείς συνέπειες για τις ενέργειες ή την αδράνεια των χρηστών. Οι χρήστες πρέπει να γνωρίζουν ότι έχουν καθήκον να προστατεύουν τις πληροφορίες που βρίσκονται στην κατοχή τους και να καταβάλλουν κάθε προσπάθεια για να τους προστατεύουν από βλάβες.
Να τους ενημερώσει ότι υπάρχουν τόσο αστικές όσο και ποινικές συνέπειες για τη διάδοση ευαίσθητων και / ή αποκλειστικών πληροφοριών, παραβίαση των εταιρικών πόρων κ.λπ.
Μην ξαναβάλτε τον τροχό
Δεν χρειάζεται να ξεκινήσετε από το μηδέν. Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) έχει γράψει κυριολεκτικά το βιβλίο για το πώς να αναπτύξει ένα πρόγραμμα εκπαίδευσης για την ευαισθητοποίηση σχετικά με την ασφάλεια, και το καλύτερο από όλα, είναι δωρεάν. Κατεβάστε την Ειδική Έκδοση 800-50 της NIST - Δημιουργήστε ένα Πρόγραμμα Ευαισθητοποίησης και Εκπαίδευσης για την Ασφάλεια της Πληροφορικής για να μάθετε πώς να φτιάξετε το δικό σας.