Campañas modernas de sensibilización sobre seguridad

Estoy buscando diferentes formas de hacer conciencia de seguridad para los usuarios 'normales'. Como generalmente no tienen mucha capacidad de atención y no tienen un solo interés en el tema, los medios formales habituales de conciencia simplemente no funcionan.

Estoy pensando en nuevos medios para la concientización sobre seguridad y quería escuchar lo que piensa sobre el tema, si ha realizado o sabe acerca de campañas de concientización que realmente funcionaron.

Estoy hablando de iniciativas como las cosas aterradoras de Internet de Symantec o la seguridad consciente .

Además, con respecto al personal de TI, ¿qué campañas o iniciativas de concientización sobre seguridad le han funcionado mejor?

Una vez pusimos lo siguiente en nuestra intranet, como un recordatorio amistoso para las personas de que deberían cambiar sus contraseñas regularmente. Estoy bastante seguro de que funcionó, porque el volumen de llamadas al servicio de asistencia de tipo "Olvidé mi contraseña" en las siguientes 2 semanas fue más alto que el promedio.

Es difícil armar uno que funcione. Es útil tener contenido atractivo y algunas recompensas (por ejemplo, realizar un cuestionario simple y regalar algo de interés). Ayuda a tener líderes influyentes en su organización que promueven activamente la participación en la campaña de concientización.

Microsoft tiene un kit de herramientas que puede descargar que tiene algunas ideas. Sophos lanzó recientemente material que también tiene buenas ideas. Al igual que Symantec (como mencionó) y la mayoría de las organizaciones de TI líderes, ya que es una forma en que pueden deslizarse en algo de marketing.

He descubierto que los temas más exitosos para la concientización son aquellos que tienen beneficios inmediatos y claros. Cambiar las contraseñas regularmente no tiene un beneficio obvio para la mayoría de los usuarios. Lo mismo con evitar hacer clic en anuncios en línea. Pero si esto se puede redactar de manera que atraiga a su audiencia, entonces es más probable que tenga éxito. Por ejemplo, si tiene padres, serán sensibles a los consejos de seguridad informática que pueden proteger a sus hijos (ah y, por cierto, también les enseñarán buenas prácticas de trabajo).

Con respecto al personal de TI, la conciencia de seguridad parece tener menos impacto. Procedimientos y políticas claros, una buena orientación de gestión y una cultura de seguridad son más exitosos, en mi experiencia.

Solo puede hacer mucho con el entrenamiento, especialmente cuando no hay consecuencias (percibidas) por no seguir las reglas.

En el campo de la seguridad, debemos aceptar el hecho de que las personas tienen mejores cosas que hacer con su tiempo que seguir nuestras tontas reglas, la mayoría de las cuales no entienden y cualquier consecuencia para el usuario se retrasa (horas, semanas) , meses) que la mayoría nunca aprenderá. Es pura psicología y debemos tomar en serio lo que los últimos 60 años de marketing / spin / manipulación nos han enseñado sobre el cerebro humano.

Su mejor opción es manipular su camino hacia el éxito. Independientemente de lo que intente hacer que sus usuarios hagan, haga que su forma segura sea la forma más fácil / rápida / económica. Los usuarios se saltan los consejos de seguridad porque les puede ahorrar 2 segundos, así que recompensen el buen comportamiento de cualquier manera que puedan.

Ejemplo: Hace muchos años, estaba en una organización que sufría debido a que los usuarios elegían las mismas contraseñas en muchos sistemas y estos sistemas aceptaban el acceso telnet desde cualquier lugar. Los atacantes lo explotaron en más de una ocasión.

Matar telnet e ir a ssh con autenticación de clave resolvió el problema de seguridad y eliminó la necesidad de que los usuarios escriban nombre de usuario y contraseñas en cada conexión remota. Tener que no escribir su contraseña para cada nueva conexión permitió que tuvieran que desbloquear su clave ssh con una frase de contraseña cada mañana.

Algunos afirman que las campañas de concientización sobre seguridad rara vez tienen un efecto positivo duradero, pero creo que la clave es transmitir el mensaje a los usuarios, pero de manera positiva.

Hemos utilizado varios mensajes humorísticos que se muestran como imágenes aleatorias en el protector de pantalla estandarizado que utiliza nuestra organización. Barato, y llega a toda la organización. Además, publicar publicaciones informativas en la intranet sobre temas oportunos también puede ser útil, por ejemplo, cómo usar las redes sociales de manera segura. Los problemas técnicos, como la calidad / duración de la contraseña, deben imponerse mediante restricciones técnicas, no dejarse como una opción para cada usuario.

Cuando comencé a trabajar en una empresa anterior con aproximadamente 60 empleados, los Post-it ni siquiera estaban ocultos. Estaban pegados a los monitores, porque ahorraba ese paso adicional de tener que levantar el teclado o el teléfono para leerlo. Los intentos de un proceso de educación mayorista fueron una completa pérdida de tiempo. Una vez me di cuenta de que tenía conversaciones individuales con los peores delincuentes. Siempre que fue posible, identifiqué a aquellos a quienes les encantaba chatear y cotillear y enfoqué mi atención en ellos y dejé que (sin querer) me ayudaran a correr la voz a través de sus chismes.

Probablemente tomó alrededor de 3 meses, pero los resultados fueron muy buenos. Una vez que los gerentes superiores entendieron, a menudo a través de recordatorios de su propio personal, las cosas se volvieron mucho más oficiales y mi trabajo (en ese sentido) se hizo.