我正在寻找对“正常”用户进行安全意识的不同方法。由于他们通常没有太多的注意力跨度并且对这个主题没有一点兴趣,所以他们通常的正式意识手段根本行不通。
我正在考虑采用新的安全意识手段,并且想听听您对这个主题的看法,如果您已经进行或了解了真正有效的意识活动。
我说的是诸如赛门铁克令人恐惧的互联网内容或注意安全性之类的举措。
另外,对于IT员工来说,哪些安全意识活动或计划对您来说效果更好?
Answers:
很难将一种可行的方法组合在一起。拥有引人入胜的内容和一些奖励(例如进行简单的测验并赠送一些有趣的东西)会有所帮助。它有助于组织中有影响力的领导者积极促进参与意识运动。
Microsoft有一个您可以下载的工具包,其中包含一些想法。Sophos 最近发布了一些具有很好想法的材料。正如赛门铁克(如您所述)和大多数领先的IT机构一样,因为这是他们可以进行某些营销活动的一种方式。
我发现最成功的认识主题是那些具有直接和明显好处的主题。对于大多数用户而言,定期更改密码并没有明显的好处。与避免点击在线广告相同。但是,如果可以用吸引观众的方式来表达这些话,那么您更有可能成功。例如,如果您有父母,他们将对可以保护孩子的计算机安全建议敏感(哦,顺便说一句也教他们良好的工作习惯)。
对于IT人员,安全意识似乎影响较小。以我的经验,明确的程序和政策,良好的管理指导以及安全文化会更成功。
培训只能做很多事情,尤其是在没有(可以察觉)不遵守规则后果的情况下。
在安全领域,我们需要接受这样一个事实,即人们会花费更多的时间来做事情,而不是遵循我们的愚蠢的规则,这些规则大多数人都不了解,并且给用户带来的任何后果都被延迟了(数小时,数周) ,数月),大多数人将永远不会学习。这是纯粹的心理学,我们迫切需要从过去60年的营销/旋转/操纵教给我们有关人类大脑的知识中寻找线索。
最好的选择是操纵成功之道。无论您想让用户做什么,都使安全方式成为最简单/最快/最便宜的方式。用户跳过安全建议,因为它可以节省2秒钟,因此请尽一切可能奖励良好的行为。
示例:许多年前,我在一个组织中遭受用户在许多系统中选择相同密码的困扰,这些系统从任何地方都接受telnet访问。攻击者多次利用此漏洞。
杀死telnet并使用密钥认证进入ssh解决了安全性问题,并消除了用户在每个远程连接上键入用户名和密码的需要。不必为每个新连接键入密码,就可以确定他们每天早晨都必须用密码解锁ssh密钥。
