Campagnes modernes de sensibilisation à la sécurité

Je recherche différentes façons de sensibiliser les utilisateurs "normaux" à la sécurité. Comme ils n'ont généralement pas beaucoup d'attention et pas un seul intérêt pour le sujet, leurs moyens de sensibilisation formels habituels ne fonctionnent tout simplement pas.

Je pense à de nouveaux moyens de sensibilisation à la sécurité et je voulais savoir ce que vous pensez du sujet, si vous avez mené ou connaissez des campagnes de sensibilisation qui ont vraiment fonctionné.

Je parle d'initiatives comme les trucs effrayants d'Internet de Symantec ou la sécurité consciente .

De plus, en ce qui concerne le personnel informatique, quelles campagnes ou initiatives de sensibilisation à la sécurité vous ont le mieux fonctionné?

Une fois, nous avons mis ce qui suit sur notre intranet, pour rappeler aux gens qu'ils doivent changer régulièrement de mot de passe. Je suis presque sûr que cela a fonctionné, car le volume d'appels au service d'assistance de type "J'ai oublié mon mot de passe" dans les 2 semaines suivantes était supérieur à la moyenne!

Il est difficile d'en créer un qui fonctionne. Il est utile d'avoir du contenu engageant et des récompenses (par exemple, lancer un simple quiz et donner quelque chose d'intéressant). Il est utile que des dirigeants influents de votre organisation encouragent activement la participation à la campagne de sensibilisation.

Microsoft a une boîte à outils que vous pouvez télécharger qui contient quelques idées. Sophos a récemment publié du matériel qui contient également de bonnes idées. Tout comme Symantec (comme vous l'avez mentionné) et la plupart des organisations informatiques de premier plan, car c'est un moyen de se glisser dans certains marketing.

J'ai trouvé que les sujets de sensibilisation les plus réussis sont ceux qui ont des avantages immédiats et clairs. La modification régulière des mots de passe n'a aucun avantage évident pour la plupart des utilisateurs. Même chose en évitant de cliquer sur les publicités en ligne. Mais si ceux-ci peuvent être formulés de manière à plaire à votre public, vous avez plus de chances de réussir. Par exemple, si vous avez des parents, ils seront sensibles aux conseils de sécurité informatique qui peuvent protéger leurs enfants (oh et leur enseignent également de bonnes pratiques de travail).

En ce qui concerne le personnel informatique, la sensibilisation à la sécurité semble avoir moins d'impact. Selon mon expérience, des procédures et des politiques claires, de bons conseils de gestion et une culture de la sécurité sont plus efficaces.

Il n'y a que peu de choses que vous pouvez faire avec la formation, surtout quand il n'y a pas de conséquences (perçues) pour ne pas suivre les règles.

Dans le domaine de la sécurité, nous devons accepter le fait que les gens ont mieux à faire avec leur temps que de suivre nos règles idiotes, dont la plupart ne comprennent pas et toute conséquence pour l'utilisateur est si retardée (heures, semaines , mois) que la majorité n'apprendra jamais. C'est de la pure psychologie et nous devons sérieusement prendre un indice de ce que les 60 dernières années de marketing / spin / manipulation nous ont appris sur le cerveau humain.

Votre meilleure option est de manipuler votre chemin vers le succès. Quoi que vous essayiez de faire faire à vos utilisateurs, faites de votre manière sécurisée la manière la plus simple / la plus rapide / la moins chère. Les utilisateurs ignorent les conseils de sécurité, car cela peut leur faire gagner 2 secondes, donc récompensez le bon comportement, quelle que soit la manière dont vous le pouvez.

Exemple: Il y a de nombreuses années, j'étais dans une organisation qui souffrait du fait que les utilisateurs choisissaient les mêmes mots de passe sur de nombreux systèmes et ces systèmes acceptaient l'accès telnet de n'importe où. Cela a été exploité par des attaquants à plusieurs reprises.

Tuer telnet et passer à ssh avec l'authentification par clé a résolu le problème de sécurité et supprimé la nécessité pour les utilisateurs de taper le nom d'utilisateur et les mots de passe sur chaque connexion à distance. N'ayant pas à taper leur mot de passe pour chaque nouvelle connexion, il était OK qu'ils devaient déverrouiller leur clé ssh avec un mot de passe tous les matins.

Certains prétendent que les campagnes de sensibilisation à la sécurité ont rarement un effet positif durable, mais je pense que la clé est de faire passer le message aux utilisateurs, mais de manière positive.

Nous avons utilisé divers messages humoristiques présentés sous forme d'images aléatoires dans l'économiseur d'écran standardisé que notre organisation utilise. Pas cher et atteint toute l'organisation. En outre, la publication de messages d'information sur l'intranet sur des sujets d'actualité peut également être utile, par exemple comment utiliser les réseaux sociaux en toute sécurité. Des problèmes plus techniques, comme la qualité / durée de vie des mots de passe, devraient être imposés par des restrictions techniques, et non pas laissés à la discrétion de chaque utilisateur.

Quand j'ai commencé à travailler dans une entreprise précédente avec environ 60 employés, les post-it n'étaient même pas cachés. Ils étaient collés aux moniteurs, car cela évitait d'avoir à soulever le clavier ou le téléphone pour le lire. Les tentatives d'un processus d'éducation en gros étaient une perte de temps complète. Une fois, j'ai réalisé que j'avais eu des entretiens individuels avec les pires contrevenants. Dans la mesure du possible, j'ai identifié ceux qui aimaient discuter et bavarder et j'ai concentré mon attention sur eux et je les ai laissés (involontairement) m'aider à passer le mot à travers leurs commérages.

Cela a probablement pris environ 3 mois, mais les résultats étaient très bons. Une fois que les cadres supérieurs ont fait allusion, souvent à travers des rappels de leur propre personnel, les choses sont devenues beaucoup plus officielles et mon travail (à cet égard) a été fait.