Neemt uw organisatie beveiliging serieus? Weten uw gebruikers hoe ze social engineering aanvallen kunnen afweren? Zijn op de draagbare apparaten van uw organisatie gegevensversleuteling ingeschakeld? Als u 'nee' of 'Ik weet het niet' op een van deze vragen hebt geantwoord, biedt uw organisatie geen goede training over beveiliging van het bewustzijn.
Wikipedia definieert beveiligingsbewustzijn als de kennis en houding die leden van een organisatie bezitten met betrekking tot de bescherming van zowel de fysieke als de informatieactiva van de organisatie.
In een notendop: losse lippen laten schepen zakken. Dat is echt de kern van het beveiligingsbewustzijn, Charlie Brown.
Als u verantwoordelijk bent voor de informatiemiddelen van uw organisatie, moet u beslist een beveiligingsbewustzijnstrainingprogramma ontwikkelen en implementeren. Het doel moet zijn om uw werknemers bewust te maken van het feit dat er slechte mensen in de wereld zijn die informatie willen stelen en organisatorische bronnen willen beschadigen.
Een goed beveiligingsbewustzijnstrainingprogramma wekt een gevoel van trots op het bezit van de gegevens en bronnen van uw organisatie. Medewerkers zullen bedreigingen voor hun organisatie zien als bedreigingen voor hun levensonderhoud. Een slecht beveiligingsbewustzijnstrainingprogramma zal mensen paranoïde en wrokkig maken.
Laten we eens kijken naar enkele tips voor het maken van een effectief beveiligingsbewustzijnstrainingprogramma:
Informeer gebruikers over de soorten gevaren in de echte wereld waarmee ze te maken kunnen krijgen
Beveiligingsbewustzijnstraining zou ook moeten bestaan uit het informeren van gebruikers over beveiligingsconcepten zoals het herkennen van social engineering-aanvallen, malwareaanvallen, phishing-tactieken en andere soorten bedreigingen die ze waarschijnlijk zullen tegenkomen. Bekijk onze Fight Cybercrime-pagina voor een lijst met cybercriminele dreigingen en technieken.
Leer de verloren kunst van wachtwoordconstructie
Hoewel velen van ons een sterk wachtwoord weten te creëren, zijn er nog steeds veel mensen die zich niet realiseren hoe gemakkelijk het is om een zwak wachtwoord te kraken. Verklaar het proces van wachtwoordscheuren en hoe offline cracking-tools zoals die met Rainbow Tables werken. Ze begrijpen misschien niet alle technische details, maar ze zullen in ieder geval zien hoe gemakkelijk het is om een slecht samengesteld wachtwoord te kraken en dit zou hen misschien wat creatiever kunnen maken wanneer het tijd is voor hen om een nieuw wachtwoord te maken.
Focus op informatiebeveiliging
Veel bedrijven vertellen hun werknemers dat ze tijdens de lunch niet moeten praten over hun bedrijf, omdat je nooit weet wie er naar je luistert, maar ze vertellen hen niet altijd om te kijken wat ze zeggen op sociale-mediasites. Een eenvoudige update van de Facebook-status over hoe boos je bent, dat het product waar je aan werkt niet op tijd zal worden uitgebracht, kan handig zijn voor een concurrent die je status kan zien, mocht je privacy-instellingen te tolerant zijn. Leer uw werknemers dat het loslaten van tweets en statusupdates ook schepen zinkt.
Rivaliserende bedrijven kunnen sociale media trollen op zoek naar werknemers van hun concurrenten om de overhand te krijgen op productintelligentie, wie werkt aan wat, etc.
Social media is nog steeds een relatief nieuwe grens in de zakenwereld en veel beveiligingsmanagers hebben er moeite mee om ermee om te gaan. De dagen dat je het gewoon hebt geblokkeerd bij de firewall van het bedrijf zijn voorbij. Social Media is nu een integraal onderdeel van de bedrijfsmodellen van veel bedrijven. Informeer gebruikers over wat ze wel en niet moeten plaatsen op Facebook, Twitter, LinkedIn en andere sociale mediasites.
Maak een back-up van uw regels met potentiële gevolgen
Beveiligingsbeleid zonder tanden zijn niets waard voor uw organisatie. Krijg management buy-in en creëer duidelijke consequenties voor gebruikersacties of niet-handelen. Gebruikers moeten weten dat zij de plicht hebben om informatie te beschermen die in hun bezit is en om hun best te doen om schade te voorkomen.
Maak hen bewust dat er zowel civiele als strafrechtelijke gevolgen zijn voor het bekendmaken van gevoelige en / of bedrijfseigen informatie, knoeien met bedrijfsmiddelen, enz.
Stel het wiel niet opnieuw uit
U hoeft helemaal niet opnieuw te beginnen. Het National Institute of Standards and Technology (NIST) heeft het boek letterlijk geschreven over het ontwikkelen van een trainingsprogramma voor beveiligingsbewustzijn, en het beste is dat het gratis is. Download NIST's Special Publication 800-50 - Bouwen aan een beveiligings- en trainingsprogramma voor informatietechnologie om te leren hoe u het uwe kunt maken.
