最新のセキュリティ意識向上キャンペーン

8

「通常の」ユーザーに対してセキュリティ意識を高めるためのさまざまな方法を探しています。彼らは通常、あまり注目のスパンがなく、主題に少しも関心がないので、彼らの通常の正式な認識手段は単に機能しません。

セキュリティ意識を高めるための新しい手段を考えています。実際に効果的な意識向上キャンペーンを実施したり知っている場合は、この件についてのあなたの考えを聞きたいと思います。

シマンテックの恐ろしいインターネット関連やマインドフルなセキュリティなどの取り組みについて話しています。

また、ITスタッフに関して、どのセキュリティ意識向上キャンペーンまたはイニシアチブが効果的でしたか？

security users

— chmeee
ソース

5

パスワードが記載されたポストイットノートをすべてデスクフォンの下から取り出し、別のオフィスワーカーと交換します。

— ウェズリー

9

かつてはパスワードを定期的に変更する必要があることを人々にわかりやすく伝えるために、以下のことをイントラネットに掲載しました。「パスワードを忘れた」タイプのヘルプデスクへの問い合わせの数が次の2週間で平均より多かったので、きちんと機能したと確信しています。

代替テキスト

— 2回転
ソース

1

しかし、ポストイットを洗濯機に入れたら、パスワードを忘れてしまいました！;）

— ウィリアム

3

「見知らぬ人に貸してはならない！」<...あなた....誰に融資下着いけない

— p858snake

2

うまくいくものをまとめるのは難しいです。魅力的なコンテンツといくつかの報酬（たとえば、簡単なクイズを実行して興味のあるものを配る）があると役立ちます。組織の影響力のあるリーダーが啓蒙キャンペーンへの参加を積極的に促進するのに役立ちます。

マイクロソフトには、いくつかのアイデアが含まれているダウンロード可能なツールキットがあります。ソフォスは最近、優れたアイデアを持ついくつかの資料をリリースしました。シマンテック（あなたが言ったように）と同様に、ほとんどの主要なIT組織もそうです。

私は、認識のために最も成功したトピックは、即時的かつ明確な利点を持つトピックであることを発見しました。パスワードを定期的に変更しても、ほとんどのユーザーにとって明らかなメリットはありません。オンライン広告をクリックしないようにすることと同じです。しかし、これらがあなたの聴衆にアピールする方法で表現できるなら、あなたは成功する可能性が高くなります。たとえば、両親がいる場合、彼らは子供を保護することができるコンピューターセキュリティアドバイスに敏感になります（ああ、偶然にも彼らに良い仕事の習慣を教えます）。

ITスタッフに関しては、セキュリティ意識の影響は少ないようです。私の経験では、明確な手順とポリシー、優れた管理ガイダンス、およびセキュリティの文化がより成功しています。

— ウィリアム
ソース

1

特にルールを守らないことによる（認識された）結果がない場合は、トレーニングでできることはそれほど多くありません。

セキュリティ分野の私たちは、人々が私たちのばかげたルールに従うよりも自分の時間をより良くすることができるという事実に同意する必要があります。それらのほとんどは理解しておらず、ユーザーへの影響は非常に遅れています（数時間、数週間）、数か月）、大多数が学習することはありません。それは純粋な心理学であり、私たちは過去60年間のマーケティング/スピン/操作の人間の脳について私たちに教えてくれたことから真剣に手がかりを得る必要があります。

あなたの最良のオプションは成功への道を操作することです。ユーザーに何をさせようとしているかに関係なく、安全な方法を最も簡単/最速/最も安価な方法にします。2秒節約できるので、ユーザーはセキュリティアドバイスをスキップします。そのため、できる限り良い行動に報いてください。

例：私は何年も前に、ユーザーが多くのシステムで同じパスワードを選択するのに苦しんでおり、これらのシステムはどこからでもtelnetアクセスを受け入れていました。これは、攻撃者によって複数回悪用されました。

telnetを強制終了し、キー認証でsshを実行すると、セキュリティの問題が解決され、ユーザーはすべてのリモート接続でユーザー名とパスワードを入力する必要がなくなりました。新しい接続ごとにパスワードを入力する必要がないため、毎朝パスフレーズを使用してSSHキーのロックを解除する必要がありました。

— アレックスホルスト
ソース

これは私の投票を取得します。私の経験では、黄色の付箋紙症候群の最大の原因は、ユーザーが個別のシステムごとに個別のパスワードを持っていることです。覚えなければならないほど、ある時点で、すべてに同じパスワードを使用し、簡単なパスワードを選択し、変更しないことで、書き留める可能性が高くなります。これを防ぐ最善の方法は、私たちがセキュリティについてより連帯した見方をすることです。

— Maximus Minimus

1

セキュリティ意識向上キャンペーンが永続的なプラスの効果をもたらすことはめったにないと主張する人もいますが、重要なのは、ユーザーにメッセージを届けることですが、プラスの方法です。

私たちは、組織が使用する標準化されたスクリーンセーバーでランダム化された画像として表示されるさまざまなユーモラスなメッセージを使用しました。安価で、組織全体に届きます。さらに、ソーシャルネットワークを安全に使用する方法など、タイムリーなトピックに関するイントラネットへの情報投稿の投稿も役立ちます。パスワードの品質や有効期間など、より技術的な問題は、各ユーザーの選択として残されるべきではなく、技術的な制限によって強制されるべきです。

— 奇妙な
ソース

0

私が前の会社で約60人のスタッフと仕事を始めたとき、ポストイットは隠されていませんでした。彼らはそれを読むためにキーボードや電話を持ち上げる必要があるその余分なステップを節約したので、彼らはモニターにこだわっていました。卸売り教育プロセスでの試みは、完全に時間の無駄でした。最悪の犯罪者と1対1で話し合っていることに気づいた。可能な場合は、チャットとゴシップが大好きな人を特定し、それらに私の注意を向け、彼らが（意図せずに）うわさ話を通して言葉を広める手助けをさせました。

おそらく3か月ほどかかりましたが、結果は非常に良好でした。上級管理職がヒントを出すと、しばしば自分のスタッフからのリマインダーを通じて、物事はより公式になり、私の仕事は（その点では）完了しました。

— ジョン・ガーデニア
ソース