Estou procurando maneiras diferentes de conscientizar a segurança de usuários "normais". Como eles geralmente não têm muita atenção e nem um pouco de interesse sobre o assunto, os meios habituais formais de consciência simplesmente não funcionam.
Estou pensando em novos meios para a conscientização da segurança e queria ouvir o que você pensa sobre o assunto, se você conduziu ou conhece campanhas de conscientização que realmente funcionaram.
Estou falando de iniciativas como o material de internet assustador ou
Além disso, em relação à equipe de TI, quais campanhas ou iniciativas de conscientização de segurança funcionaram melhor para você?
Uma vez, colocamos o seguinte em nossa intranet, como um lembrete para as pessoas de que elas devem alterar suas senhas regularmente. Tenho certeza que funcionou, porque o volume de chamadas do helpdesk do tipo "Esqueci minha senha" nas duas semanas seguintes foi superior à média!
É difícil criar um que funcione. Ajuda a ter conteúdo envolvente e algumas recompensas (por exemplo, executar um questionário simples e dar algo de interesse). Ajuda a ter líderes influentes em sua organização promovendo ativamente a participação na campanha de conscientização.
A Microsoft tem um kit de ferramentas que você pode baixar que tem algumas ideias. A Sophos lançou recentemente um material que também tem boas idéias. Da mesma forma que a Symantec (como você mencionou) e a maioria das principais organizações de TI, uma vez que é uma forma de entrar em marketing.
Encontrei os tópicos mais bem-sucedidos para a conscientização: aqueles que têm benefícios imediatos e claros. Alterar senhas regularmente não traz benefícios óbvios para a maioria dos usuários. Mesmo evitando clicar em anúncios on-line. Mas, se elas puderem ser redigidas de maneira a atrair seu público, é mais provável que você tenha sucesso. Por exemplo, se você tem pais, eles serão sensíveis aos conselhos de segurança do computador que podem proteger seus filhos (e, aliás, ensiná-los boas práticas de trabalho também).
Em relação à equipe de TI, a conscientização sobre segurança parece ter menos impacto. Procedimentos e políticas claras, boas orientações de gestão e uma cultura de segurança são mais bem sucedidos, na minha experiência.
Há tanta coisa que você pode fazer com o treinamento, especialmente quando não há consequências (percebidas) por não seguir as regras.
Nós, no campo da segurança, precisamos aceitar o fato de que as pessoas têm coisas melhores a fazer com seu tempo do que seguir nossas regras bobas, a maioria das quais elas não entendem e qualquer consequência para o usuário é tão demorada ( horas, semanas, meses) que a maioria nunca aprenderá. É pura psicologia e precisamos seriamente dar uma pista do que os últimos 60 anos de marketing / rotação / manipulação nos ensinaram sobre o cérebro humano.
Sua melhor opção é manipular seu caminho para o sucesso. Seja o que for que você esteja tentando fazer com que seus usuários façam, faça da maneira mais segura a maneira mais fácil / rápida / barata. Os usuários ignoram os conselhos de segurança porque podem salvá-los por 2 segundos, portanto, recompense o bom comportamento da maneira que você puder.
Exemplo: muitos anos atrás, eu estava em uma organização que sofria de usuários escolhendo as mesmas senhas em vários sistemas e esses sistemas aceitavam o acesso por telnet de qualquer lugar. Isso foi explorado por invasores em mais de uma ocasião.
Matar o telnet e acessar o ssh com a autenticação de chave resolveu o problema de segurança e eliminou a necessidade de os usuários digitarem nome de usuário e senhas em todas as conexões remotas. Não ter que digitar sua senha para cada nova conexão fez com que fosse bom que eles tivessem que desbloquear sua chave ssh com uma senha todas as manhãs.
Alguns afirmam que as campanhas de conscientização de segurança raramente têm um efeito positivo duradouro, mas acho que a chave é colocar a mensagem na cara dos usuários, mas de uma maneira positiva.
Usamos várias mensagens engraçadas exibidas como imagens aleatórias no protetor de tela padronizado usado pela nossa organização. Barato, e atinge toda a organização. Além disso, publicar postagens informativas na intranet sobre tópicos oportunos também pode ser útil, por exemplo, como usar redes sociais com segurança. Mais problemas técnicos, como a qualidade da senha / tempo de vida, devem ser impostos por restrições técnicas e não deixados como opção para cada usuário.
Quando comecei a trabalhar em uma empresa anterior, com cerca de 60 funcionários, os Post-its não estavam ocultos. Eles estavam presos aos monitores, porque economizava o passo extra de ter que levantar o teclado ou o telefone para lê-lo. Tentativas de um processo de educação por atacado foram uma completa perda de tempo. Uma vez eu percebi que eu tinha uma a uma conversa com os piores criminosos. Sempre que possível, identifiquei aqueles que adoravam conversar e fofocar e concentrei minha atenção neles e os deixei (involuntariamente) me ajudar a espalhar a palavra através de suas fofocas.
Demorou cerca de 3 meses, mas os resultados foram muito bons. Uma vez que os gerentes seniores seguem a dica, muitas vezes através de lembretes de sua própria equipe, as coisas se tornaram muito mais oficiais e meu trabalho (a esse respeito) foi feito.